On 6 Aug, 2010, at 4:40 PM, Marco Bizzantino wrote: > Tempo fa leggendo una kb ufficiale di un noto vendor ho trovato un errore. > Se le operazioni riportate vengono seguite alla lettera si espone il sistema > a un potenziale buco di sicurezza, non facilmente sfruttabile ma il problema > rimane. > Ho scritto al vendor in questione ma a distanza di 1 mese non ho ricevuto > risposta (non me la aspettavo comunque) e i comandi incriminati sono ancora > online nella kb. > Da qui la mia domanda: com'e' più corretto comportarsi? In una situazione del > genere si segue l'iter per un exploit cioe' avviso il vendor, se dopo un > periodo ragionevole non mi calcola lo pubblico per mettergli pressione, > oppure insisto per avere una risposta? > > Voi cosa fareste?
Qui la propria "religione" a proposito della disclosure influenza ovviamente le risposte. Essendo io favorevole alla responsible disclosure, di fronte al perpetrato silenzio del vendor, procederei con la notifica pubblica. un mayhem che non si ricorda più che signature voleva mettere ... -- Cracca al Tesoro: http://www.wardriving.it/ CLUSIT Security Summit: http://www.securitysummit.it/ Hacker Film Festival: https://www.securitysummit.it/page/hackingfilmfestival ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
