MegaBIP

Najlepiej przetestowany program do stron podmiotowych BIP

bezpłatny w podstawowej wersji

Wersja 5.14 - proszę przeczytaj...
16.07.2024

Od wersji 5.14 zostały wprowadzone nowe cechy systemu bezpieczeństwa MegaBIP.

Podatności, CERT, Pełnomocnik i nasze stanowisko.
09.07.2024

W skrócie - nic nowego, a program jest bezpieczny.

W wersji 5.13 jest błąd
05.07.2024

Zachęcamy do aktualizacji do 5.13.1.

MegaBIP to program (CMS) do tworzenia i prowadzenia strony podmiotowej BIP.

Jest zgodny z przepisami i bezpłatny w podstawowej wersji.

Pobierz darmowy BIP

Incydent bezpieczeństwa MegaBIP i inne fantasmagorie

10.02.2024

Oświadczenie

Na stronie https://www.cve.org/cverecord?id=CVE-2023-5378 został opublikowany wpis o rzekomej podatności MagaBIP. Są to nieprawdziwe informacje. Zwróciłem się o ich sprostowanie. Tymczasem słowo wyjaśnienia.

Jesienią 2023 dostałem informację od Klientki, że ktoś straszy ją rzekomymi wadami bezpieczeństwa MegaBIP. W październiku otrzymałem anonimową (nie podpisaną przez nikogo – sic!) informację z CERT, że SmodBIP i MegaBIP są podatne CVE-2023-4837 i 5378. Już wówczas informowałem, że to nieprawda. Zapis o rzekomej podatności zawiera informację o dwóch kompletnie różnych programach. Jeden z nich od dekady (sic!) nie jest ani aktualizowany, ani rozwijany, ani wspierany. Klienci o tym wiedzą. Zresztą program ten zawsze był bezpłatny i OpenSource.

Drugi to MegaBIP. Kompletnie inny program, który tyle ma wspólnego ze SmodBIP, że oba mają jednego autora i oba służą do publikacji stron podmiotowych. Już wówczas informowałem, że to co wypisuje CERT to nieprawda. A podany „przykładowy scenariusz ataku” niczego niewłaściwego nie powoduje. Co więcej każda próba jest precyzyjnie odnotowywana w logach – zgodnie z przepisami – kto, kiedy, co i jak próbował. Zwróciłem się do autorów tamtej wiadomości o szczegóły na temat rzekomej podatności. Nie otrzymałem żadnej odpowiedzi. Nigdy.

Co więcej – zostałem poinformowany, że CERT „zakłada” (sic!) że błąd występuje. Nikt nie wziął odpowiedzialności za to niepoważne pomówienie. Mimo deklaracji nikt też nie odpowiedział na moje próby kontaktu. Zgaduję, że nikt też nie sprawdził tych „scenariuszy ataku”.

Przypominam, że w Polsce wciąż obowiązuje trzeci (z czterech) poziom ochrony infrastruktury krytycznej. Choć stronę BIP trudno uznać za taką infrastrukturę to całe "zaplecze" już można...

MegaBIP w wersji 5 jest dostępny od 13 miesięcy, notatka o „podatności” dotyczy wersji 4.36.2. Pomijając fakt, że to stara wersja – program jest na bieżąco aktualizowany i każdy ma dostęp do bezpłatnej aktualizacji, to jest to informacja zwyczajnie nieprawdziwa.

Publikacja ta i milczenie w (braku) odpowiedzi na prośbę o podanie jakichś szczegółów nosi znamiona działania na szkodę tak moją, jak i moich klientów. Zwróciłem się o sprostowanie.

Każdą informację o wadzie przyjmuję z pokorą. Nie uważam, że jestem nieomylny, ani że program jest całkowicie wolny od błędów. Ale jeśli pojawi się błąd – jest on priorytetowo naprawiany. A bezpieczeństwo wraz z wygodą użytkowania programu, zawsze były dla nas najważniejsze. Trudno mi jednak przyjmować poważnie anonimowe zgłoszenie. Do tego dotyczące wyimaginowanych problemów, które "są zakładane". Potrzebne są konkrety.

Państwa BIP jest bezpieczny.

Jan Syski

MegaBIP - program do prowadzenia stron BIP

Program do BIP
© 2023   MegaBIP - Jan Syski