Buggar är en del av all mjukvaruutveckling. Felfri kod är en utopi och alla seriösa företag har en hantering av buggrapporter och grundregeln är att de bör och ska avhjälpas skyndsamt. Det tycks inte gälla Ubiquiti som utvecklar trådlösa produkter.
Ubiquiti Utvecklar routrar, acesspunkter och andra nätprodukter. I november 2016 så fick Ubiquiti in en buggrapporter som rörde fyra av deras produkter. Sannolikt så finns buggen i 38 av företagets produkter då samma mjukvara ingår.
Buggen gör det möjligt att injicera kod i den webblösning som kan användas för att styra, kontrollera och konfigurera enheterna. Buggen bedöms som allvarlig men inte kritisk.
Fyra månader
Den 25 november förra året meddelar Ubiquiti att buggen kommer att fixas i nästa uppdatering. Sedan lämnas en rad olika besked innan Ubiquiti meddelar att metoden för att exploatera mjukvaran (proof-of-concept) inte fungerar.
Sec-Consult, som lämnat informationen till Ubiquiti visar då med en video att metoden faktiskt fungerar. Nu har vi kommit fram till januari i år.
Nu, i mars, fyra månader senare så, har buggen fortfarande inte åtgärdats.
Oacceptabelt
Det är naturligtvis inte acceptabelt att buggar i närprodukter, routrar och accesspunkter, som används för lokala nätverk inte åtgärdas skyndsamt. Speciellt inte sedan Ubiquity har haft alla detaljer, all nödvändig information för att åtgärda säkerhetshålet.
0 kommentarer