Avrupa Birliği, açık kaynak dosya transfer uygulaması PuTTY’de 20 yıldan beri bilinen açığı yamaladı. European Union Free and Open Source Software Audit (EU-FOSSA). adına HackerOne geniş kapsamlı bir ödül programı açıkladı. Program sonucunda açık izlendi ve yamalandı ve 3,266.45 €’luk ödül verildi [1][2][3].
Güvenlik açığı, kötü niyetli bir saldırganın programı çöktürmesine veya kendi kodunu uzaktan çalıştırabilmesine olanak veriyordu. İlk olarak 27 Haziran 2019’da tespit edilmiş ve 20 Eylül’de kamuoyuna açıklanmıştı.
AB-FOSSA Tespit Etti
PuTTY açığı, AB-FOSSA hata izleme programı sırasında keşfedilen 133 açıktan bir tanesiydi. HackerOne teknik program yöneticisi Shlomie Liberow, açığın yirmi yıldır keşfedilmemiş olmasının sürpriz olmadığını söyledi.
“PuTTY gibi araçlar karmaşık ve her zaman kullanılmayan bazı işlevler içeriyor ve bu nedenle bazı güvenlik sorunlarını ortaya çıkarmak daha zor olabilir.
2014 yılında Heartbleed OpenSSL güvenlik açığının ortaya çıkmasıyla [4] [5] oluşan krizin ardından kurulan EU-FOSSA , Avrupa Komisyonu tarafından açık kaynak kodlu yazılımları güvence altına almak için varlığını sürdürüyor [6] .
AB, PuTTY’nin yanı sıra Drupal, KeePass, FileZille, Apache Kafka, Notepad ++, VLC Media Player ve MidPoint’i de yönetiyor.
AB-FOSSA şunları kaydediyor;
“Komisyonun Enformatik Genel Müdürlüğü, Açık Kaynak Yazılım Stratejisinin ilk versiyonunun oluşturulduğu 2000 yılından bu yana BT toplumuna Özgür ve Açık Kaynak Yazılımı getirmektedir.
Bir çok konuda, sektörde, ücretsiz ve açık kaynaklı yazılımların kullanımı arttı ve stratejik hale geldi. Komisyon veri merkezinin sunucularının % 80’inde Linux kullanılıyor. Avrupa websitesi de Drupal ile çalıştırılıyor.
Bu şekilde, yalnızca kendimizi korumakla kalmıyoruz, ayrıca açık kaynak kodlu yazılımı topluma ve artan bir şekilde cihazlarında açık kaynak kodlu yazılım kullanan kamuoyuna değer katıyoruz”.
EU-FOSSA, 2018’de HackerOne ile birlikte başarılı bir pilot hata ödül programı başlattı. Ardından kapsamın genişletilmesi gerektiği anlaşıldı. AB-FOSSA şöyle diyor;
“Bugüne kadar elde edilen başarılar göz önüne alındığında, daha da genişleme gerekiyor. Projenin devamı şu anda değerlendiriliyor, farklı seçeneklere bakıyoruz. Ayrıca tecrübemizi paylaşıyoruz, Avrupa’daki diğer projeleri ve kamu kuruluşlarını yolumuzu takip etmeye teşvik ediyoruz. ”
[1] PuTTY
[2] European Union Free and Open Source Software Audit (EU-FOSSA)/a>
[3] Heap overflow happen when receiving short length key from ssh server using ssh protocol 1