• [^] # Re: Réponse chez Debian

    Posté par . En réponse à la dépêche Vulnérabilité OpenSSH. Évalué à 10.

    Je pense que, dans le cas de cette faille, tes critiques sur ISS sont injustifiées.

    Une faille dans OpenSSH (et peut-être d'autres implémentations) a été trouvée. Bon. ISS aurait très bien pu contacter l'équipe d'OpenSSH en disant «voilà les gars, vous avez tel trou, on le publie, avec un exploit, dans 48 heures». Or, ils ne l'ont pas fait.

    A la place, la publication de la faille est reportée afin que les gens aient la possibilité de mettre à jour leur OpenSSH, non pas pour corriger le bug (puisque la disponibilité de la correction permettrait à tout un chacun de cuisiner un exploit dans son coin), mais pour le rendre inopérant grâce à privsep.

    Dans un monde parfait, tous les vendeurs auraient fourni des mises à jour d'OpenSSH lundi au plus tard, et la faille aurait été publiée mercredi - c'est ce qui avait été négocié. Comme les vendeurs font de la résistance parce que la faille n'a pas été publiée sur le thème de «j'y croirai quand je me prendrai un exploit dans la figure», il a fallu faire un peu plus de bruit autour de ce problème, et laisser plus de temps avant la publication.

    Dans tout ça, que peux-tu reprocher à ISS? Leur attitude est très correcte jusqu'à présent.