Eine Schwachstelle im Linuxkernel für Ubuntu LTS wurde jüngst ( 30.4.2015 ) bekannt,
und wer braucht wieder mal ein Jahr um das zu erkennen ? F5 🙂
Die Angaben aus dieser CERT Mitteilung könnten allerdings den Grund erklären:
Historie:
Version 2 (23.03.2016):
F5 Networks teilt mit, welche Produkte und Versionen von dieser
Schwachstelle betroffen sind.
Version 1 (30.04.2015):
Neues Advisory
Betroffene Plattformen:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Canonical Ubuntu Linux 12.04 Lts
Offensichtlich basiert F5’s Produkt auf einer LTS Version , was an sich kein Problem ist, denn die LTS Version bekommt ja Updates für Schwachstellen. Was komisch ist, daß Canonical das bereits vor einem Jahr gemeldet hat und damit vermutlich auch behoben hat.
Wie kann man also in der Securitybranche ein ganzes Jahr brauchen um festzustellen, daß das das eigene Produkt eine Schwachstelle hat ? Lesen die die Mitteilungen von Canonical nicht ? So gut wie jeder Distributor gibt entsprechende Meldungen raus, wenn eine Sicherheitslücke gefunden wurde.
Bleibt noch die Frage wieso das ausgerechnet bei F5 so lange dauert! Kann das mal jemand aufklären ?