• # De l'impossibilité d'une divulgation coordonnée

    Posté par (site web personnel) . En réponse au journal Et ça continue [DirtyFrag]. Évalué à 9 (+8/-0).

    Et encore une fois, il y a eu un raté sur le NDA (sauf que là, le gars dit que ce serait d'une tierce partie).

    On trouve une info plus précise via ce témoignage sur la liste mail oss-security de _SiCk qui a développé un exploit sur la base de :
    - un commit (public) corrigeant une partie de la faille
    - un message sur un réseau social d'un analyste sécurité devinant, derrière ce commit, la présence d'une faille

    Ça démontre qu'aujourd'hui on va très rapidement avoir un code d'exploitation dès qu'un commit corrigeant une faille est publié (même sans mention explicite de vulnérabilité dans la description du commit). Plusieurs objectifs sont donc incompatibles :
    - travailler en public
    - avoir des délais entre l'écriture d'un correctif et son application (délai entre écriture et merge liés au process de review, délai entre merge upstream et packaging downstream)
    - protéger les systèmes downstream des failles n-days pour n inférieur aux délais ci-dessus