تعتبر الثغرات الأمنية في النظم من الحقائق المؤسفة في الحياه. ويعمل فريق الهندسة وتقنية المعلومات في مؤسسة ICANN بجد على العديد من الجبهات لحماية وتعزيز أمن أنظمتنا. وتعقد الفعاليات من وقت لآخر التي ينتج عنها أنشطة محددة ومركزة تتعلق بالأمن والتي يمكن أن تؤثر على مؤسسة و/أو مجتمع ICANN. ونظرًا لالتزامنا بالانفتاح والشفافية، فسوف نفصح عن الحدثين التاليين للمجتمع. وبناءً على معرفتنا الحالية، لم ينتج عن أي من هذه الفعاليات أي انتهاك لبيانات ICANN.
مشكلة خدمات البريد الإلكتروني بنظام نصوص فائقة
خدمات البريد الإلكتروني لمصادر مؤسسة ICANN إلى مزود الخدمات السحابي، نظام النصوص الفائقة. في 21 آب (أغسطس) 2017، اكتشفت إدارة تقنية المعلومات بمؤسسة ICANN (ICANN IT ) مشكلة في وحدة التحكم الإدارية التابعة للعملاء لخدمات البريد الإلكتروني التي يستضيفها نظام النصوص الفائقة. أخطرت ICANN IT نظام النصوص الفائقة على الفور، وأجرت تحقيقًا شاملا في المشكلة، وقررت أنه لم يحدث أي انتهاك لبيانات ICANNBoard أو المؤسسة أو المجتمع نتيجة لهذه المشكلة. وفي 22 آب (أغسطس) 2017، قام نظام النصوص الفائقة، بعد عملية الاستجابة السريعة للحوادث السريعة، بتطبيق معالجة.
ثغرة المحلل التركيبي متعدد الأطراف في برنامج Apache Struts Jakarta
في 18 أيلول (سبتمبر) 2017، أجرت مؤسسة ICANN مراجعة لخدمات ICANN المدارة داخليًا، وبعد التقييم الأولي، لم تجد أي شيء يتأثر بثرة ضعف Apache Struts (CVE-2017-5638). كما بدأنا عملية الاتصال بمزودي الخدمات المدارة خارجيًا للحصول على تقييماتهم بشأن تأثير هذه المشكلة. وتلقينا حاليًا تقارير تفيد بأن هناك 16 خدمة لم تتأثر، وفي انتظار ردود من المزودين بشأن الخدمات المتبقية.
وفي ضوء هذين الكشفين، قمنا بتحديد الحاجة إلى إضفاء الطابع الرسمي على إجراءاتنا من أجل الكشف عن أحداث مثل هذه في المستقبل بشكل مناسب. لقد بدأنا العمل في تحديد هذه العملية. وعند اكتمال هذا الجهد، سوف نكشف عن مبادئ الشفافية الجديدة إلى المجتمع.
وإن كان لديكم أي أسئلة أو تعليق، يرجى إرسالها عبر البريد الإلكتروني مباشرة: terry.manderson@icann.org.