les bonnes pratiques veulent qu'il y ait une période pour corriger le tir ;
Le responsible disclosure c’est de signaler le problème en privé et de laisser le temps de corriger avant de rendre l’affaire publique. Là on est face à quelque chose qui est déjà publique (peu visible ≠ privé).
Prévenir les éventuels utilisateurs de Mageia sur DLFP ne me semble pas déconnant, surtout qu’il a fallut ça pour que l’équipe (au courant depuis longtemps) fasse un communiqué public.
il va jusqu'à lancer un shell comme il le mentionne ;
Si lui l’a fait, d’autre ont pu le faire, pourtant le discours en face c’est « y a pas de risque ».
J'ai la forte conviction, au vu de ce que j'ai lu, qu'il n'est pas le chevalier blanc, mais un gars qui veut salir la réputation de mageia.
Peut-être que c’est vrai, j’en sais rien, mais en attendant le problème est réel et le déni de l’équipe Mageia aussi.
[^] # Re: Et ils continuent de nier le problème ...
Posté par Anonyme . En réponse au journal Pas de mises à jour de sécurité depuis 5 ans sur l’infrastructure Mageia. Est‐ce bien raisonnable ?. Évalué à 6.
Le responsible disclosure c’est de signaler le problème en privé et de laisser le temps de corriger avant de rendre l’affaire publique. Là on est face à quelque chose qui est déjà publique (peu visible ≠ privé).
Prévenir les éventuels utilisateurs de Mageia sur DLFP ne me semble pas déconnant, surtout qu’il a fallut ça pour que l’équipe (au courant depuis longtemps) fasse un communiqué public.
Si lui l’a fait, d’autre ont pu le faire, pourtant le discours en face c’est « y a pas de risque ».
Peut-être que c’est vrai, j’en sais rien, mais en attendant le problème est réel et le déni de l’équipe Mageia aussi.