欧盟补丁20岁的开源漏洞

腻子中的一个20岁的漏洞，一个开源网络文件传输应用程序，已经跟踪和修补了由Hackerone代表欧盟免费和开源软件审计（eu-窝）。

漏洞可能允许恶意演员崩溃程序并使用它来实现远程代码执行。它是第一次于2019年6月27日发现并于9月20日公开披露，净化人为3,250欧元（2,782英镑）奖金。

Hackerone技术方案经理Shlomie LiboIn表示，这并不一定是脆弱性未被发现的令人惊讶的意外。

“像Putty这样的工具很复杂，它包含一些并不总是使用的功能，因此揭开一些安全问题可能更难，”他说。

“最终，不太令人惊讶的是，安全缺陷的安全缺陷存在，但 - 更具现象 - 是，正确的关注水平以这种彻底的方式审计了一个常用的工具，因此许多虫子会被淘汰。”

Putty缺陷只是欧盟 - 罗萨犯规计划中未发现的133人之一，该计划总共支付了87,990欧元（75,330英镑）的研究人员。

在2014年披露智慧Openssl漏洞的危机之后，欧盟福萨的危机是为了保护欧洲广阔的开源软件遗产 - 欧洲委员会（EC）长期倡导，作为其透明度和平等主义的目标的表现。

除了Putty，欧盟还经营Drupal，KeepAs，Filezille，Apache Kafka，Notepad ++，VLC媒体播放器和中点。

“委员会的信息学局长在2000年开始，在创建了委员会的第一个版本的开源软件策略时，委员会的IT堆栈一直在其IT堆栈中引入自由和开源软件。”欧盟福萨发言人解释说。

“使用自由和开源软件的使用增加，在几个领域的战略中变得战略 - Linux在委员会数据中心的80％的服务器中使用，欧罗巴网站正在运行在Drupal上，名称为一些。”

随着Stucebleed Bug有效展示全球互联网基础设施的许多中心要素可能存在漏洞，欧盟表示明确责任，以确保其开源软件恏的可靠性。

“这样，我们不仅保护自己，而且为开源社区和普通公众增加了价值，他们越来越多地在其设备上使用开源软件，”他们说。

eu-fossa在2018年沿着Hackerone举行了一份成功的飞行员Bug Bounty计划，之后它可以清除欧盟 - 罗萨团队以及几个感兴趣的MEP，即最初的飞行员的范围应该扩大。

发言人表示，迄今为止迄今为止的成功，可能会进一步扩大：“目前正在考虑该项目的延续，我们正在查看不同的选择。我们还在分享我们的经验，鼓励欧洲的其他项目和公共组织跟随我们的道路。“

对于Hackerone，使用开源产品，额外的复杂性建立了黑客和开源社区之间的新关系 - 尽管其长寿及其能力，但开源运动仍然是一个很大程度上的志愿者努力，很少被争夺“光滑，资源丰富的企业组织”，通常有效。

“有机会审计数百万使用的工具，”有些东西令人兴奋，“利润说。

“沟通和协作是安全发现的重要因素。对于一些安全研究人员来说，它是与志愿者团队合作的新经验，并将修补程序制定，以解决他们找到的错误，在使用专有软件时更加困难。“