Avatar von tr0ll
  • tr0ll

mehr als 1000 Beiträge seit 16.07.2016

Re: Artikel auf www.pro-linux.de

"Responsible Disclosure" (RD) bedingt, dass es nicht über alle offenen Kanäle an alle hinaus posaunt werden darf. Ein Posting auf für viele Menschen einsehbaren Mailinglisten oder Bugtrackern läuft der RD einfach zuwider.

Yup, natürlich. Aber ... ;)

- Auf den Mailing Lists kann man zumindest die zuständigen Leute erreichen/finden (oder jemanden, der die kennt), im Zweifelsfall "hey, meldet euch!", man muss ja keine Details zur Lücke posten.

- In den Bugtrackern gibt es häufig einen Sicherheitslücken-Flag, so dass der erst mal nicht für die breite Öffentlichkeit einsehbar ist.

Gibt es denn in der Linuxwelt eine Art CERT, die vermittelnden und vor allem verschwiegenen Kontakt zu dem jeweiligen Maintainer herstellen kann?

Ich würde behaupten, dass das viele der großen Organisationen können, als Linux Foundation, EFF etc. Oder aber einfach einer wie Red Hat oder Canonical, die ja auch für viele Server quasi "verantwortlich" sind. Oder wirklich Linus Torvalds. Zugegebenermaßen habe ich jetzt noch nicht soooo viele Lücken gefunden, aber als ich mal eine hatte (netten Segfault in einer XML-Lib), habe ich einfach den angegebenen Maintainer angemailt, sogar ohne große Analyse, ob das jetzt wirklich eine Lücke ist, sondern einfach nur ein Beispiel geschickt, wie man den Crash produziert. War ziemlich schnell gefixt, ohne Bugtracker, Registrierung oder sonst irgendeinen Aufwand.

Bewerten
- +
Anzeige