2010/8/6 Marco Bizzantino <[email protected]>: > Ciao a tutti, > Tempo fa leggendo una kb ufficiale di un noto vendor ho trovato un errore. > Se le operazioni riportate vengono seguite alla lettera si espone il sistema > a un potenziale buco di sicurezza, non facilmente sfruttabile ma il problema > rimane. > Ho scritto al vendor in questione ma a distanza di 1 mese non ho ricevuto > risposta (non me la aspettavo comunque) e i comandi incriminati sono ancora > online nella kb. > Da qui la mia domanda: com'e' piĆ¹ corretto comportarsi? In una situazione del > genere si segue l'iter per un exploit cioe' avviso il vendor, se dopo un > periodo ragionevole non mi calcola lo pubblico per mettergli pressione, > oppure insisto per avere una risposta? > > Voi cosa fareste? >
Prova a ricontattare il vendor. Se non ottieni nuovamente risposta,, nel security advisory, prima della pubblicazione, potresti mettere una timeline riguardo la comunicazione con il vendor. -- Salvatore Fresta aka Drosophila http://www.salvatorefresta.net CWNP444351
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
