系统中的安全漏洞是一个不幸的事实。ICANN 组织的工程和信息技术团队致力于从多方面保护和提高系统的安全性。但有时也会发生一些可能影响 ICANN 组织和/或社群的事件,这些事件会导致我们执行主要与安全相关的特定活动。为了兑现我们对问责制和透明度的承诺,现向社群披露以下两个事件。就我们目前所知,这些事件都没有对 ICANN 数据造成任何影响。
Intermedia 电子邮件服务问题
ICANN 组织将电子邮件服务外包给了一家云服务提供商 Intermedia。2017 年 8 月 21 日,ICANN 组织信息技术 (ICANN IT) 部门发现,Intermedia 所托管电子邮件服务的客户端管理控制台有一个问题。ICANN IT 部门立即通知了 Intermedia,并对此问题进行了彻底调查,最后确定此问题并没有影响 ICANN 董事会、组织或社群数据。2017 年 8 月 22 日,Intermedia 遵照自己的快速事件响应流程,实施了补救措施。
Apache Struts Jakarta Multipart Parser 漏洞
2017 年 9 月 18 日,ICANN 组织对内部管理的 ICANN 服务进行了一次审核,经过初步评估后发现,没有受到 Apache Struts 漏洞 (CVE-2017-5638) 的影响。我们还启动了一个流程,联系我们的外部管理服务提供商,获得他们对此问题影响的评估结果。目前我们收到的报告称,16 项服务未受到影响,但还要等待我们的供应商回复剩余服务的情况。
根据这两个披露的事件,我们确定需要规范化我们的程序,以便日后适当披露此类事件。我们已经开始着手制定这一流程。该项工作完成后,我们会将新的透明度指导方针传达给社群。
如果您有任何问题或反馈,请直接给我发邮件:terry.manderson@icann.org