Ce ne sont pas les correctifs, mais le calendrier de divulgation :
Les discussions entre le chercheur et les développeurs ont permis de convenir d'un calendrier de divulgation :
- 30 septembre : divulgation initiale à la liste de diffusion sur la sécurité d'Openwall.
- 6 octobre : divulgation publique complète des détails de la vulnérabilité.
Canonical et Red Hat sont par contre déjà informés, Canonical étant médiateur entre le chercheur et les développeurs concernés.
Extrait du message twitter du chercher qui a découvert les failles :
L'article va être amusant, pas seulement pour les détails techniques, pas seulement parce que ce RCE était là depuis plus d'une décennie, mais aussi comme un exemple de la façon dont il ne faut PAS gérer les divulgations.
J'écris des logiciels, je comprends, je comprends que quelqu'un puisse être sur la défensive à propos de ce qu'il écrit, je le comprends vraiment. Mais bon sang, si votre logiciel fonctionne sur tout depuis 20 ans, vous avez la responsabilité d'assumer et de corriger vos bugs au lieu d'utiliser votre énergie à expliquer au pauvre bâtard qui les a signalés à quel point il a tort, même s'il vous donne littéralement PoC après PoC et prouve systématiquement que vos hypothèses sur votre propre logiciel sont erronées à chaque commentaire. C'est tout simplement insensé.
Je voulais juste ajouter, par souci de clarté, que j'ai *trop de respect* pour les gens de Canonical qui ont essayé d'aider et de servir de médiateurs depuis le début, je ne sais vraiment pas comment ils font pour garder leur sang-froid comme ça.
Ceci va être la déclaration d'ouverture de l'article. C'est un commentaire réel de la conversation github. Je veux dire, ce n'est pas faux ...
"Du point de vue de la sécurité générique, un système Linux complet tel qu'il est aujourd'hui n'est qu'un fouillis sans fin et sans espoir de failles de sécurité attendant d'être exploitées."
Attaques informatiques