释放双眼,带上耳机,听听看~!
在发现一个严重的安全漏洞后,参与管理BIND域名服务器软件的小组正在考虑对访问有关重要互联网程序的安全相关信息收费。
互联网软件联盟(ISC)计划创建一个只对自己开放的论坛,包括BIND-in产品的供应商,根级和顶级域名服务器运营商,以及ISC决定承认的其他“合格方”。
会员将支付会员费,并有义务签署保密协议,他们将收到有关绑定问题的特权预警。
这一想法违背了安全专业人员中长期存在的公开披露安全问题的精神,并在BugTraq等邮件列表上引起了强烈批评,认为这将使任何漏洞的影响更加严重,并落入黑客之手。
BIND(Berkeley-Internet Name Domain)是一个开源软件程序,已经成为Internet上域名系统(DNS)服务器的事实标准。大约80%的DNS服务器运行BIND。
上周,CERT发布了一份公告,概述了BIND的一系列严重安全问题。公告记录了BIND中的四个漏洞,其中包括两个缓冲区溢出,攻击者可以远程获得对运行该程序的计算机的无限制访问
ISC的Paul Vixie在这里就创建一个付费论坛的问题进行了一次有趣的讨论,他说该组织仍然会通过CERT发布安全信息,但他认为使用安全信息交换所来讨论供应商之间的问题是很尴尬的,因此创建了一个付费论坛。®
大佬们的社区都付费了。只有我们还搞公益