Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 20/3/2003
Information om tre sikkerhedshuller, der var videregivet til det amerikanske CERT/CC i fortrolighed, er dukket op på diskussionslister.CERT Coordination Center (CERT/CC) offentliggør som regel først information om sårbarheder, efter at den berørte leverandør har haft lejlighed til at udarbejde et rettelsesprogram. Men en hacker, der bruger dæknavnet Hack4life, har opsnappet tre sårbarheder og udsendt information om dem, før de var blevet rettet. Han oplyser, at han har fået informationerne fra et af de firmaer, som CERT/CC kommunikerer med.
Den ene sårbarhed er opdaget af sikkerhedsfirmaet Eeye. Der er tale om en sårbarhed i et programmeringsbibliotek med rutiner til RPC (Remote Procedure Calls). Biblioteket kommer oprindelig fra Sun, men anvendes i flere leverandørers RPC-software. CERT/CC har valgt at udsende en advarsel om problemet, efter det blev kendt, selvom der endnu ikke findes rettelser til det.
Den anden sårbarhed handler om et sikkerhedsproblem i autentifikationssystemet Kerberos. Det skulle gøre det muligt for en angriber at give sig ud for at være en anden bruger.
Den tredje advarsel handler om SSL og en særlig form for angreb på krypteringssystemet.