Comme convenu avant mon départ en congés, j'ai fait publié auprès de Symantec du CERTA et du CERT-IST, la faille de sécurité découverte dans un outil de CRM le 03 août de cette année.
Après avoir signifié la vulnérabilité auprès de l'éditeur (TechExcel) du CRM CustomerWise, je leur avait signalé qu'en l'absence de réponse de leur part avant le 03 septembre 2007, je rendrais la faille publique.
C'est chose faite depuis hier, auprès de trois organismes de sécurité :
Symantec : Bugtraq ID 25624
CERT-IST : CERT-IST/INC-EXT/2007.025
CERTA : Pas de référence pour l'instant.
J'ai donc déclaré cette vulnérabilité auprès de deux organismes officiels de sécurité Francais (CERT-IST et CERTA) et un société de sécurité internationale Symantec, qui tient à jour une excellente base de vulnérabilités, faisant référence en la matière.
J'attends aujourd'hui un appel du CERT-IST afin de discuter des suites à donner à cet incident.