trustico网站在Twitter上出现严重漏洞后变暗

Trustico网站周四上午离线,大约24小时前,这家英国HTTPS证书经销商的CEO通过电子邮件向合作伙伴发送了2.3万个私钥。

进一步准备23,000份HTTPS证书,在CEO向私人密钥发送电子邮件后,网站关闭前不久,一名网站安全专家在Twitter上披露了一个严重的漏洞,这似乎使得外界可以在Trustico服务器上运行恶意代码。在trustico . com网站功能中,允许客户确认证书已正确安装在他们的网站上,该漏洞似乎以root用户身份运行。tweet指出,通过在验证表单中插入命令,攻击者可以调用自己选择的代码,并让它在不受约束的 root 权限下在Trustico服务器上运行。安全研究员Scott Helme告诉Ars说:

如果是这样的话,情况会变得越来越糟。

Trustico代表没有立即回复要求对此帖子发表评论的电子邮件。

发布漏洞的网站安全专家在随后的推特上说,关键漏洞早些时候就已经发布了。他没有说在哪里或什么时候,也没有回应要求这些细节的信息。他的Twitter简档确定他是塞尔维亚开放Web应用程序安全项目的当地分会领袖。

批评家们在周三毫不浪费时间,因为Trustico一直在对证书私钥进行归档,这种做法通常违反了证书颁发机构浏览器论坛设定的具有行业约束力的基线要求。公司CEO可以拿到钥匙,而不是存储在孤立的机器上,CEO通过电子邮件发送钥匙,这使得公众的愤怒更加强烈。DigiCert确定首席执行官是赞恩·卢卡斯。trustico网站引述卢卡斯的头衔为导演。

Eric Mill是公钥基础设施专家,他说,他对在Twitter上发布漏洞是否合理感到困惑。他告诉Ars说:“

仅仅因为你在堆积一家做不负责任事情的公司,就不能公开披露信息”。他指出,与此同时,一些Trustico官员公开表示,对他们的批评越来越多是诽谤性的,并使用其他语言表明他们可能会对批评者采取法律行动。这些类型的行为常常对更负责任的漏洞披露形式产生令人不寒而栗的影响。米尔最后说,双方都有争论。

Post已更新,以便在第三至最后一段中添加有关CEO的详细信息。