Et encore une fois, il y a eu un raté sur le NDA (sauf que là, le gars dit que ce serait d'une tierce partie).
On trouve une info plus précise via ce témoignage sur la liste mail oss-security de _SiCk qui a développé un exploit sur la base de :
- un commit (public) corrigeant une partie de la faille
- un message sur un réseau social d'un analyste sécurité devinant, derrière ce commit, la présence d'une faille
Ça démontre qu'aujourd'hui on va très rapidement avoir un code d'exploitation dès qu'un commit corrigeant une faille est publié (même sans mention explicite de vulnérabilité dans la description du commit). Plusieurs objectifs sont donc incompatibles :
- travailler en public
- avoir des délais entre l'écriture d'un correctif et son application (délai entre écriture et merge liés au process de review, délai entre merge upstream et packaging downstream)
- protéger les systèmes downstream des failles n-days pour n inférieur aux délais ci-dessus
# De l'impossibilité d'une divulgation coordonnée
Posté par Samuel (site web personnel) . En réponse au journal Et ça continue [DirtyFrag]. Évalué à 9 (+8/-0).
On trouve une info plus précise via ce témoignage sur la liste mail oss-security de _SiCk qui a développé un exploit sur la base de :
- un commit (public) corrigeant une partie de la faille
- un message sur un réseau social d'un analyste sécurité devinant, derrière ce commit, la présence d'une faille
Ça démontre qu'aujourd'hui on va très rapidement avoir un code d'exploitation dès qu'un commit corrigeant une faille est publié (même sans mention explicite de vulnérabilité dans la description du commit). Plusieurs objectifs sont donc incompatibles :
- travailler en public
- avoir des délais entre l'écriture d'un correctif et son application (délai entre écriture et merge liés au process de review, délai entre merge upstream et packaging downstream)
- protéger les systèmes downstream des failles n-days pour n inférieur aux délais ci-dessus