Cisco Releases Multiple Security Advisories

Компания Cisco порадовала сегодня очередным выпуском обновлений безопасности . Среди заплаток к оборудованию, мое внимание привлекло уведомление cisco-sa-20100217-csa , в котором упоминалась популярная система проактивной защиты на уровне хоста (aka HIPS) - Cisco Security Agent (CSA). Каким же было мое удивление, когда в адвизори всеми любимого вендора за 2010 год можно прочитать буквально следующее: "The Management Center for Cisco Security Agents is affected by a directory traversal vulnerability and a SQL injection vulnerability". WOW :) Пояснение. "Management Center for Cisco Security Agents" это web-based консоль управления CSA на уровне всего предприятия. "directory traversal vulnerability" - уязвимость , которая позволяет выходить за пределы корневой директории Web-сервера ( WASC-33 ). "SQL injection vulnerability" - уязвимость, занимающая вторую позицию в рейтинге CWE/SANS Top 25 Most Dangerous Programming Errors 2010 ... Очень сильно сомневаюсь в недостаточной квалификации разработчиков компании Cisco, поэтому налицо недостатки в процессе управления качеством продуктов.