Solar Designer로 더 많이 알려진 러시아의 보안 전문 프로그래머인 Alexander Peslyak이
이번 스택 오버 플로우 공격이었던 The Stack Clash가 전혀 빠른 조처가 아니라고 밝혔습니다.
우선 시간 흐름은 아래와 같습니다.
5월 3일 - Qualys 연구소에가 해당 취약점에 대해 알림. 세부 사항은 없음
5월 17일 - Qualys 연구소에서 Stack Clash와 Sudo 취약점의 세부 사항 전달
5월 23일 - 엠바고 연장
5월 26일 - Qualys 연구소에서 Cron 취약점의 세부 사항 전달
5월 30일 - Qualys 연구소가 밝힌 문제점들에 대해 먼저 알려졌던 공개 일자
5월 30일 - Sudo 취약점 공개
5월 31일 - Sudo에 대한 불완전한 수정들을 제대로 수정
6월 2일 - Sudo에 대한 불완전한 수정이 있었고 그에 대해 다시 수정했다고 발표
6월 8일 - Cron 마이너 문제점들 공개(몇몇 수정들 또한 공개)
6월 19일 - Stack Clash 공개
매우 길게 사연이 적혀져 있지만 요약하자면,
처음만 해도 관례였던 일반적으로14일, 최대 19일의 엠바고 기간을 레드햇의 요청으로 엠바고를 연장했고,
글의 저자는 이에 동의했던 것을 후회하고 있으며, 그럼에도 불구하고 연장된 기간은 더 늘었습니다.
결국 모든 취약점은 공개됐고 레드햇과 수세, 오라클은 이에 대해 많은 노력을 했고,
사실 많은 회사들이 보안에 대해 투자를 하지 않거나 못한다는 것을 잘 알고 있지만,
이후로는 이러한 연장을 못하는 것은 물론, 최대 19일이라는 항목을 지울 것이라고 합니다.
또한 엠바고 기간을 더 짧게 만들기 위해 노력할 것이라고 합니다.
이를 통해 배포판 제작진들이 그냥 시간을 가져가는 것을 줄일 것이라고 합니다.
현재 이 글의 원문은 삭제되었습니다.
(IP보기클릭)122.38.***.***