Cisco kann das Leck in PIX nicht finden
Cisco Systems konnte ein Loch, das ein Security-Experte gefunden haben will, nicht verifizieren – was die Fachwelt etwas ratlos zurücklässt.
Patchen oder Nicht-Patchen – das ist hier nicht die Frage. Die Existenz des Loches, das Hendrik Scholz von Cityline gefunden haben will, steht zunächst selbst in Frage. Er hatte auf der Hacker- und Security-Konferenz Black Hat 2006 in seinem Vortrag ein Loch in der Firewall-Software der Appliance ‘PIX 500’ erwähnt.
Cisco suchte und suchte – und fand bislang nichts Vergleichbares. Ob die Kunden jetzt aber aus dem Schneider sind, bleibt fraglich. Einerseits hat sich Ciscos hauseigenes Product Security Incident Response Team dazu bekannt, dass selbst intensives Testen und Prüfen kein Ergebnis brachte.
Der Konzern arbeitet zwar eigenen Angaben zufolge noch mit Scholz zusammen, um hinter dessen Sicht der Dinge zu kommen und die Stelle zu finden, an der die Daten falsch in das Session Initiation Protocol überführt werden sollen – bislang jedoch ohne Erfolg. Scholz andererseits hat seine Erkenntnis einstweilen nicht widerrufen. Die Kunden können sich also aussuchen, wem sie glauben wollen. Der Glaube soll ja auch in der IT-Abteilung angesichts der Security- und Budget-Probleme wieder ganz stark im Kommen sein.