Wieder Streit um Entwurf zur Veröffentlichung von Sicherheitslücken
Die Organisation for Internet Safety legt einen neuen Vorschlag zur Veröffentlichung von Sicherheitslücken in Software vor, nachdem die IETF den ersten RFC mangels Zuständigkeit zurückgeweisen hat.
Der nun veröffentlichte Entwurf der Organisation for Internet Safety (OISAFETY) versucht die Diskussion um Vorgehensweisen zur Meldung von Schwachstellen in Software voranzutreiben. Die für Internetstandards zuständige Internet Engineering Task Force IETF hatte einen von MITRE und @stake verfassten Draft für einen RFC mit der Begründung zurückgewiesen, die IETF sei nicht für die Standardisierung menschlicher Verhaltenweisen zuständig.
Unter dem Label OISAFETY haben sich mehrere Sicherheitsdienstleister und Softwarehersteller zusammengeschlossen: @stake, BindView, Foundstone, Guardent, Internet Security Systems, Network Associates, Symatec, Microsoft, SGI, Oracle und SCO. Letztlich beschreibt deren Entwurf nichts wesentlich Neues: Wird ein Bug entdeckt, so soll sich der Entdecker zunächst mit dem Hersteller in Verbindung setzen und ihm Zeit zur Beseitigung einräumen. Fünf Phasen sollen den Ablauf bestimmen: Entdeckung, Benachrichtigung, Untersuchung, Lösung, Release.
An der Dauer dieser Phasen scheiden sich aber schon die Geister: Empfohlen werden in dem Draft 30 Tage ab dem Zeitpunkt, an dem der Hersteller den Eingang einer Fehlermeldung bestätigt, bis zur Entwicklung eines Patches. Anschließend sollen nochmals 30 Tage eingeräumt werden, um "kritische Infrastrukturen" vorab zu versorgen. Erst dann soll die Schwachstelle veröffentlicht werden. Bislang tun sich die Hersteller aber schon damit schwer, überhaupt auf den Eingang einer Fehlermeldung zu reagieren.
Bis zum 7. Juli sollen nun Kommentare zum Entwurf abgegeben werden; welchen Status dieser danach erlangt, bleibt unklar. Interessant dürfte auch Symantecs Reaktion auf die Verabschiedung des Drafts sein, immerhin sind sie Besitzer von Securityfocus. In der Mailingliste Full-Disclosure wird recht derb über den den Draft hergezogen und über die Motive der Mitglieder von OISAFETY spekuliert. Georgi Guninski, Microsoft-Bug-Jäger, betitelt den neuen Draft als nutzlos und verweist auf das Free Hacker Manifest. (dab)
