On 08/06/2010 04:40 PM, Marco Bizzantino wrote: > Ciao a tutti, > Tempo fa leggendo una kb ufficiale di un noto vendor ho trovato un errore. > Se le operazioni riportate vengono seguite alla lettera si espone il sistema > a un potenziale buco di sicurezza, non facilmente sfruttabile ma il problema > rimane. > Ho scritto al vendor in questione ma a distanza di 1 mese non ho ricevuto > risposta (non me la aspettavo comunque) e i comandi incriminati sono ancora > online nella kb. > Da qui la mia domanda: com'e' più corretto comportarsi? In una situazione del > genere si segue l'iter per un exploit cioe' avviso il vendor, se dopo un > periodo ragionevole non mi calcola lo pubblico per mettergli pressione, > oppure insisto per avere una risposta? > > Voi cosa fareste?
Visto che hai contattato il vendor (allo stesso indirizzo al quale lo contatteresti per una vulnerabilità , suppongo), tanto vale che provi a ricontattarlo avvisandolo della deadline per la pubblicazione. ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
