Magazine

Timeline win

Publié le 10 avril 2009 par Sid

Horloge

E

st-ce que vous avez vu la politique de publication de failles de Thierry Zoller ? Si ce n'est pas le cas, allez y jeter un coup d'œil, ça ne manque pas de piquant. Il y a pleins de passages savamment rédigés, dans un style direct mais clair, comme celui-ci :

Please understand that this is a free service too you, I 
have not sold the information and taken the time to report 
it to you. I am trying to help you protect your customers. 
The very least I expect is an acknowledgement of e-mails and 
replies.

D'aucuns trouvent cette politique un peu dure, en particulier le timing laissé à l'éditeur pour répondre et notifier le chercheur de ses avancées, pourtant, nombre d'entre eux s'en accommodent très bien. Pour d'autres par contre, ça semble être un réveil matin efficace...

Avez-vous par exemple vu passer ce bug sur la mauvaise gestion des fichiers RAR par le moteur Proventia d'IBM/ISS que Thierry a publié la semaine dernière ? Encore un grand moment de timeline (les highlights en rouge sont de moi)...

Release mode: Forced disclosure, no answer from vendor.
Vendor      : http://www.ibm.com
Security notification reaction rating : Catastrophic
    (see Timeline)
[...]
IV. Disclosure timeline

IBM was sent two POC files, an explanation and the disclosure
terms

  * 09/03/2009 : Send proof of concept, description the
    terms under which I cooperate and the planned disclosure
    date (23/03/2009)
    Note: The security contact adress listed in OSVDB was used.
 
    No reply.

  * 13/03/2009 : Resend email indicating this is the last 
     attempt to coordinate disclosure

    No reply.

  * 23/03/2009 : Send another Report and a second POC
     
    No reply.

  * 02/04/2009 : Publication of a limited detail advisory,
    grace period of 2 weeks given to IBM prior to full detail
    advisory.

  * 02/04/2009 : IBM contact is made, proof of concept sent again

  * 03/04/2009 : IBM responds that the issue is under investigation

Ça se passe de commentaire, même si j'adore le concept du "je te réponds pas sauf si tu me mets le nez dedans".

Dans un genre légèrement différent, vous avez ce problème avec les fichiers ZIP qui touche apparemment tous les produits F-Prot et qui ne devrait pas être corrigé sur les versions existantes, considéré comme suffisamment mineur par l'éditeur pour n'être programmé que comme un bugfix dans les versions à venir... Depuis quatre ans...

Après, on s'étonne, que dis-je, on s'offusque que d'autres ne trouvent plus de plaisir à publier... Et justement, en parlant de ce "No More Free Bugs", il y a un thread sur la question qui court sur Daily Dave, initié par Charlie Miller justement. Au-delà du sympathique logo à la coccinelle, les réponses sont très intéressantes...

Sans oublier quelques autres réactions çà et là...


Retour à La Une de Logo Paperblog

A propos de l’auteur


Sid 341 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossiers Paperblog