2010/8/6 Marco Bizzantino <[email protected]> > > Ciao a tutti, > Tempo fa leggendo una kb ufficiale di un noto vendor ho trovato un errore. > Se le operazioni riportate vengono seguite alla lettera si espone il sistema > a un potenziale buco di sicurezza, non facilmente sfruttabile ma il problema > rimane. > Ho scritto al vendor in questione ma a distanza di 1 mese non ho ricevuto > risposta (non me la aspettavo comunque) e i comandi incriminati sono ancora > online nella kb. > Da qui la mia domanda: com'e' più corretto comportarsi? In una situazione del > genere si segue l'iter per un exploit cioe' avviso il vendor, se dopo un > periodo ragionevole non mi calcola lo pubblico per mettergli pressione, > oppure insisto per avere una risposta? > > Voi cosa fareste? Il principio che dovrebbe essere seguito è quello della full disclosure, IMHO. Oppure segui, come qualcuno fa, il processo descritto in questo draft RFC http://www.whitehats.ca/main/about_us/policies/draft-christey-wysopal-vuln-disclosure-00.txt se pensi possa fare al caso tuo.
Saluti ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
