CERT Coordination
Center will künftig Sicherheitslücken nach einer
gewissen Wartezeit auch dann veröffentlichen, wenn die
betroffenen Hersteller noch nicht durch Patches, Fixes oder Updates
für Abhilfe gesorgt haben.16. Oktober 2000
Das CERT Coordination
Center will künftig Sicherheitslücken nach einer
gewissen Wartezeit auch dann veröffentlichen, wenn die
betroffenen Hersteller noch nicht durch Patches, Fixes oder Updates
für Abhilfe gesorgt haben.
Normalerweise soll die maximale Verzögerung 45 Tage
betragen. Bei besonders schwerwiegenden Problemen oder wenn ein
Sicherheitsloch bereits für Angriffe ausgeschlachtet wird,
behält sich das CERT CC eine schnellere
Veröffentlichung vor. Andererseits heißt es in der
aktuellen Vulnerability Disclosure Policy aber
auch, dass "Bedrohungen, die schwerwiegende Veränderungen
(Änderungen an Standards oder Kernkomponenten von
Betriebssystemen) erfordern", eine spätere
Veröffentlichung nach sich ziehen.
Besonders ernste Sicherheitslücken werden weiterhin in
CERT-Advisories publiziert, die auch über eine Mailingliste erhältlich sind.
Für alle anderen Probleme erstellt das CERT CC lediglich
"Vulnerability Notes", die ausschließlich über das Webangebot des
CERT CC erhältlich sind. Die ersten Informationen,
die unter der neuen Policy veröffentlicht werden, erwartet man
Mitte November.