Sybase stoppt Veröffentlichung von Details zu Sicherheitslücken
Der Datenbankhersteller Sybase hat die Veröffentlichung eines Advisorys über nähere Angaben zu Sicherheitslücken im Adaptive Server Enterprise gestoppt. Der Entdecker der Lücken sieht nun die zukünftige Arbeit von Sicherheitsspezialisten gefährdet.
Der Datenbankhersteller Sybase hat die Veröffentlichung eines Advisorys verhindert, das nähere Angaben zu mehreren Sicherheitslücken im Adaptive Server Enterprise 12.5.3 enthält. Ursprünglich wollte NGSSoftware (NGSS), ein auf Datenbanksicherheit spezialisiertes Unternehmen, das Advisory am 21. März über mehrere Sicherheits-Mailinglisten verteilen. Dem zuvor kam aber ein Schreiben der Rechtsabteilung von Sybase, in dem der Hersteller das Zurückhalten der Informationen verlangte. Andernfalls sehe man sich gezwungen, rechtliche Schritte einzuleiten.
Nach Angaben von NGSSoftware sei dies seit acht Jahren das erste Mal, dass ein Hersteller so reagiere. Bislang habe man etwa mit IBM, Microsoft und Oracle vertrauensvoll zusammengearbeitet und -- der eigenen Unternehmensrichtlinie folgend -- die genaue Beschreibung zu den Fehlern erst drei Monate nach Herausgabe von Updates und Patches veröffentlicht. Auch mit Sybase sei man bisher so verfahren, über die neue Vorgehensweise sei man schockiert, erklärte David Litchfield, einer der Gründer von NGSS, gegenüber US-Medien.
Die Gründe für den Sinneswandel von Sybase sind indes nicht ganz klar. Bekannt ist nur, dass sich der Hersteller auf die Einhaltung der Lizenzbedingungen zur Nutzung seiner Produkte beruft. Demnach dürften die Ergebnisse von Benchmarks und anderen Leistungstests nur mit seiner Zustimmung veröffentlicht werden. Zudem sei es nicht im Interesse der Sybase-Kunden, wenn Details zu Schwachstellen bekannt würden.
David Litchfield äußert sich enttäuscht über diese Sichtweise. Auch renommierte Sicherheitsspezialisten müssten zukünftig befürchten, für ihre Veröffentlichungen belangt zu werden -- sogar, wenn sie dies mit der von Herstellern geforderten Responsible Disclosure täten. Zudem sei es durchaus im Interesse der Kunden, die genauen Umstände der Sicherheitslücken zu erfahren. Nach Meinung von Litchfield würde die Suche nach Schwachstellen, machte das Sybase-Beispiel Schule, fortan im Untergrund verrichtet werden müssen -- was die "Good Guys" eigentlich gar nicht wollen. Zuletzt war in Frankreich ein Student für die Veröffentlichung einer Sicherheitslücke in einem Produkt verurteilt worden.
Siehe dazu auch: (dab)
- Details of Sybase ASE bugs withheld von David Litchfield
