En fait, le souci a été rapporté plus tôt qu'il y a 4j. Le bug https://bugzilla.redhat.com/show_bug.cgi?id=1141597 date du 14 septembre. Sachant que l'équipe réponds en général sous 24h avec un CVE, je pense que la faille date de ce jour, ce qui a laissé le temps de coordonner , de corriger et de tester le correctif. Ensuite, en effet, la 2eme faille a été bien plus rapide à être corrigé, et je sais que l'équipe a bossé comme des fous sur le sujet.
Il est aussi à noter que l'article dit que CVE-2014-7187 et CVE-2014-7186 sont non publiques, mais il y a une description sur le bugzilla de RH :
Il me semble aussi que postfix n'est pas un vecteur connu ( au contraire de qmail et exim ), car il nettoie les variables comme il faut. Mais je ne trouve rien sur le sujet.
# Quelque details
Posté par Misc (site web personnel) . En réponse à la dépêche Une faille nommée « shellshock ». Évalué à 10.
En fait, le souci a été rapporté plus tôt qu'il y a 4j. Le bug https://bugzilla.redhat.com/show_bug.cgi?id=1141597 date du 14 septembre. Sachant que l'équipe réponds en général sous 24h avec un CVE, je pense que la faille date de ce jour, ce qui a laissé le temps de coordonner , de corriger et de tester le correctif. Ensuite, en effet, la 2eme faille a été bien plus rapide à être corrigé, et je sais que l'équipe a bossé comme des fous sur le sujet.
Il est aussi à noter que l'article dit que CVE-2014-7187 et CVE-2014-7186 sont non publiques, mais il y a une description sur le bugzilla de RH :
https://bugzilla.redhat.com/show_bug.cgi?id=1146791
https://bugzilla.redhat.com/show_bug.cgi?id=1146804
Il me semble aussi que postfix n'est pas un vecteur connu ( au contraire de qmail et exim ), car il nettoie les variables comme il faut. Mais je ne trouve rien sur le sujet.