st-ce que vous avez vu la politique de publication de failles de Thierry Zoller ? Si ce n'est pas le cas, allez y jeter un coup d'œil, ça ne manque pas de piquant. Il y a pleins de passages savamment rédigés, dans un style direct mais clair, comme celui-ci :
Please understand that this is a free service too you, I have not sold the information and taken the time to report it to you. I am trying to help you protect your customers. The very least I expect is an acknowledgement of e-mails and replies.
D'aucuns trouvent cette politique un peu dure, en particulier le timing laissé à l'éditeur pour répondre et notifier le chercheur de ses avancées, pourtant, nombre d'entre eux s'en accommodent très bien. Pour d'autres par contre, ça semble être un réveil matin efficace...
Avez-vous par exemple vu passer ce bug sur la mauvaise gestion des fichiers RAR par le moteur Proventia d'IBM/ISS que Thierry a publié la semaine dernière ? Encore un grand moment de timeline (les highlights en rouge sont de moi)...
Release mode: Forced disclosure, no answer from vendor. Vendor : http://www.ibm.com Security notification reaction rating : Catastrophic (see Timeline) [...] IV. Disclosure timeline IBM was sent two POC files, an explanation and the disclosure terms * 09/03/2009 : Send proof of concept, description the terms under which I cooperate and the planned disclosure date (23/03/2009) Note: The security contact adress listed in OSVDB was used. No reply. * 13/03/2009 : Resend email indicating this is the last attempt to coordinate disclosure No reply. * 23/03/2009 : Send another Report and a second POC No reply. * 02/04/2009 : Publication of a limited detail advisory, grace period of 2 weeks given to IBM prior to full detail advisory. * 02/04/2009 : IBM contact is made, proof of concept sent again * 03/04/2009 : IBM responds that the issue is under investigation
Ça se passe de commentaire, même si j'adore le concept du "je te réponds pas sauf si tu me mets le nez dedans".
Dans un genre légèrement différent, vous avez ce problème avec les fichiers ZIP qui touche apparemment tous les produits F-Prot et qui ne devrait pas être corrigé sur les versions existantes, considéré comme suffisamment mineur par l'éditeur pour n'être programmé que comme un bugfix dans les versions à venir... Depuis quatre ans...
Après, on s'étonne, que dis-je, on s'offusque que d'autres ne trouvent plus de plaisir à publier... Et justement, en parlant de ce "No More Free Bugs", il y a un thread sur la question qui court sur Daily Dave, initié par Charlie Miller justement. Au-delà du sympathique logo à la coccinelle, les réponses sont très intéressantes...
Sans oublier quelques autres réactions çà et là...