J'ai decouvert une vulnerabilite dans une distribution linux et j'aimerais
connaitre la procedure a suivre en cas de decouverte d'une faille? Avec la
LEN et toute la "reflexion" et la "competance" qu'on eu nos legislateurs sur
le sujet je ne sais plus quoi faire.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Tom
Di0 g3n3 wrote:
J'ai decouvert une vulnerabilite dans une distribution linux et j'aimerais connaitre la procedure a suivre en cas de decouverte d'une faille? Avec la LEN et toute la "reflexion" et la "competance" qu'on eu nos legislateurs sur le sujet je ne sais plus quoi faire.
Bah tu fais un bug report. Il n'y a aucune loi qui empêche de faire un bug report.
-- Tom
Di0 g3n3 wrote:
J'ai decouvert une vulnerabilite dans une distribution linux et j'aimerais
connaitre la procedure a suivre en cas de decouverte d'une faille? Avec la
LEN et toute la "reflexion" et la "competance" qu'on eu nos legislateurs sur
le sujet je ne sais plus quoi faire.
Bah tu fais un bug report. Il n'y a aucune loi qui empêche de faire un
bug report.
J'ai decouvert une vulnerabilite dans une distribution linux et j'aimerais connaitre la procedure a suivre en cas de decouverte d'une faille? Avec la LEN et toute la "reflexion" et la "competance" qu'on eu nos legislateurs sur le sujet je ne sais plus quoi faire.
Bah tu fais un bug report. Il n'y a aucune loi qui empêche de faire un bug report.
-- Tom
Di0 g3n3
Faut il prevenir les developpeurs avant ou le CERT s'en charge?
Si tu es résident français (ton adresse mail ne le précise pas), le mieux est de communiquer tes indos au CERTA :
<http://www.certa.ssi.gouv.fr/>
Ils se chargent de retransmettre l'info aux autres CERT.
--
Faut il prevenir les developpeurs avant ou le CERT s'en charge?
Si tu es résident français (ton adresse mail ne le précise pas), le
mieux est de communiquer tes indos au CERTA :
<http://www.certa.ssi.gouv.fr/>
Ils se chargent de retransmettre l'info aux autres CERT.
Faut il prevenir les developpeurs avant ou le CERT s'en charge?
Si tu es résident français (ton adresse mail ne le précise pas), le mieux est de communiquer tes indos au CERTA :
<http://www.certa.ssi.gouv.fr/>
Ils se chargent de retransmettre l'info aux autres CERT.
--
Nicob
On Tue, 06 Jun 2006 16:13:50 +0000, Di0 g3n3 wrote:
Faut il prevenir les developpeurs avant ou le CERT s'en charge?
Tout CERT préviendra les développeurs avant publication. Mais il est probable que les différents CERT ne prennent en charge que les failles assez critiques. D'ailleurs, le problème est-il lié à une distrib particulière ou est-il propre à un soft, une version du noyau, ... ?
Nicob
On Tue, 06 Jun 2006 16:13:50 +0000, Di0 g3n3 wrote:
Faut il prevenir les developpeurs avant ou le CERT s'en charge?
Tout CERT préviendra les développeurs avant publication. Mais il est
probable que les différents CERT ne prennent en charge que les failles
assez critiques. D'ailleurs, le problème est-il lié à une distrib
particulière ou est-il propre à un soft, une version du noyau, ... ?
On Tue, 06 Jun 2006 16:13:50 +0000, Di0 g3n3 wrote:
Faut il prevenir les developpeurs avant ou le CERT s'en charge?
Tout CERT préviendra les développeurs avant publication. Mais il est probable que les différents CERT ne prennent en charge que les failles assez critiques. D'ailleurs, le problème est-il lié à une distrib particulière ou est-il propre à un soft, une version du noyau, ... ?
Nicob
Di0 g3n3
Tout CERT préviendra les développeurs avant publication. Mais il est probable que les différents CERT ne prennent en charge que les failles assez critiques. D'ailleurs, le problème est-il lié à une distrib particulière ou est-il propre à un soft, une version du noyau, ... ?
Il est propre a une distribution. Il s'agit d'une faille de type shell escape, et elle est remote.
Tout CERT préviendra les développeurs avant publication. Mais il est
probable que les différents CERT ne prennent en charge que les failles
assez critiques. D'ailleurs, le problème est-il lié à une distrib
particulière ou est-il propre à un soft, une version du noyau, ... ?
Il est propre a une distribution. Il s'agit d'une faille de type shell
escape, et elle est remote.
Tout CERT préviendra les développeurs avant publication. Mais il est probable que les différents CERT ne prennent en charge que les failles assez critiques. D'ailleurs, le problème est-il lié à une distrib particulière ou est-il propre à un soft, une version du noyau, ... ?
Il est propre a une distribution. Il s'agit d'une faille de type shell escape, et elle est remote.
Nicob
On Wed, 07 Jun 2006 09:08:08 +0000, Di0 g3n3 wrote:
Il est propre a une distribution. Il s'agit d'une faille de type shell escape, et elle est remote.
Alors ça peut intéresser des CERTS français ;-) Leur écrire en signant/chiffrant avec GPG et une clé publiquement accessible (aka pgp.mit.edu) est bon moyen d'établir un canal de communication fiable. Ensuite, ça devrait normalement bien se passer ...
Note : la plupart des distribs Linux (toutes ?) ne posent aucun problème aux personnes leur remontant des failles. Tu peux donc aussi tenter de les contacter en direct.
Nicob
On Wed, 07 Jun 2006 09:08:08 +0000, Di0 g3n3 wrote:
Il est propre a une distribution. Il s'agit d'une faille de type shell
escape, et elle est remote.
Alors ça peut intéresser des CERTS français ;-) Leur écrire en
signant/chiffrant avec GPG et une clé publiquement accessible
(aka pgp.mit.edu) est bon moyen d'établir un canal de communication
fiable. Ensuite, ça devrait normalement bien se passer ...
Note : la plupart des distribs Linux (toutes ?) ne posent aucun problème
aux personnes leur remontant des failles. Tu peux donc aussi tenter de
les contacter en direct.
On Wed, 07 Jun 2006 09:08:08 +0000, Di0 g3n3 wrote:
Il est propre a une distribution. Il s'agit d'une faille de type shell escape, et elle est remote.
Alors ça peut intéresser des CERTS français ;-) Leur écrire en signant/chiffrant avec GPG et une clé publiquement accessible (aka pgp.mit.edu) est bon moyen d'établir un canal de communication fiable. Ensuite, ça devrait normalement bien se passer ...
Note : la plupart des distribs Linux (toutes ?) ne posent aucun problème aux personnes leur remontant des failles. Tu peux donc aussi tenter de les contacter en direct.
Nicob
Yves Lambert
Nicob wrote:
Alors ça peut intéresser des CERTS français ;-)
cf mon message <news:e6a0cm$i0i$ (fcsv et fcold) -- Petite question qui peux paraitre bête, mais bon.. Lors d'un réponse à un post, est-il mieux de mettre la réponse avant ou aprés le message ??
-=-=- TagZilla 0.059 -=-=-
Nicob wrote:
Alors ça peut intéresser des CERTS français ;-)
cf mon message <news:e6a0cm$i0i$1@news.cict.fr>
(fcsv et fcold)
--
Petite question qui peux paraitre bête, mais bon..
Lors d'un réponse à un post, est-il mieux de mettre la réponse avant ou
aprés le message ??
cf mon message <news:e6a0cm$i0i$ (fcsv et fcold) -- Petite question qui peux paraitre bête, mais bon.. Lors d'un réponse à un post, est-il mieux de mettre la réponse avant ou aprés le message ??
-=-=- TagZilla 0.059 -=-=-
GLoiseau
Bonjour
J'ai decouvert une vulnerabilite dans une distribution linux et j'aimerais connaitre la procedure a suivre en cas de decouverte d'une faille? Avec la LEN et toute la "reflexion" et la "competance" qu'on eu nos legislateurs sur le sujet je ne sais plus quoi faire. Salut,
Poste sur bugtrap. @+
Bonjour
J'ai decouvert une vulnerabilite dans une distribution linux et j'aimerais
connaitre la procedure a suivre en cas de decouverte d'une faille? Avec la
LEN et toute la "reflexion" et la "competance" qu'on eu nos legislateurs sur
le sujet je ne sais plus quoi faire.
Salut,
J'ai decouvert une vulnerabilite dans une distribution linux et j'aimerais connaitre la procedure a suivre en cas de decouverte d'une faille? Avec la LEN et toute la "reflexion" et la "competance" qu'on eu nos legislateurs sur le sujet je ne sais plus quoi faire. Salut,
Poste sur bugtrap. @+
Di0 g3n3
C'est fait par contre aucune reponse? il reponde d'habitude? je l'ai envoye a frSIRT et au CERTA.
C'est fait par contre aucune reponse? il reponde d'habitude? je l'ai envoye
a frSIRT et au CERTA.
C'est fait par contre aucune reponse? il reponde d'habitude? je l'ai envoye a frSIRT et au CERTA.
Cedric Blancher
Le Thu, 15 Jun 2006 14:45:35 +0000, Di0 g3n3 a écrit :
C'est fait par contre aucune reponse? il reponde d'habitude? je l'ai envoye a frSIRT et au CERTA.
Quelle est la légitimité de FRSIRT là dedans ? C'est une société commerciale[1] qui revend les informations qu'on lui donne ou qu'elle va glaner sur le web. Sans aucune critique sur le travail qu'ils réalise, il me semble pour le moins cavalier d'aller filer des nouvelles failles à des entreprises commerciales alors qu'on a des organismes déclarés (CERT) pour faire relais.
[1] http://www.frsirt.com/societe.php
-- Je n'est plus besoin des headers, j'ai verifie sur dejanew, tous est ok. On c'est fait avoir par les dinos. Il n'y a plus qu'a chercher une solution constructive aux votes destructifs des dinos. -+- JL in : Guide du Neueu Usenet - Mode Calimero ON -+-
Le Thu, 15 Jun 2006 14:45:35 +0000, Di0 g3n3 a écrit :
C'est fait par contre aucune reponse? il reponde d'habitude? je l'ai envoye
a frSIRT et au CERTA.
Quelle est la légitimité de FRSIRT là dedans ? C'est une société
commerciale[1] qui revend les informations qu'on lui donne ou qu'elle va
glaner sur le web. Sans aucune critique sur le travail qu'ils réalise, il
me semble pour le moins cavalier d'aller filer des nouvelles failles à
des entreprises commerciales alors qu'on a des organismes déclarés
(CERT) pour faire relais.
[1] http://www.frsirt.com/societe.php
--
Je n'est plus besoin des headers, j'ai verifie sur dejanew, tous est
ok. On c'est fait avoir par les dinos. Il n'y a plus qu'a chercher une
solution constructive aux votes destructifs des dinos.
-+- JL in : Guide du Neueu Usenet - Mode Calimero ON -+-
Le Thu, 15 Jun 2006 14:45:35 +0000, Di0 g3n3 a écrit :
C'est fait par contre aucune reponse? il reponde d'habitude? je l'ai envoye a frSIRT et au CERTA.
Quelle est la légitimité de FRSIRT là dedans ? C'est une société commerciale[1] qui revend les informations qu'on lui donne ou qu'elle va glaner sur le web. Sans aucune critique sur le travail qu'ils réalise, il me semble pour le moins cavalier d'aller filer des nouvelles failles à des entreprises commerciales alors qu'on a des organismes déclarés (CERT) pour faire relais.
[1] http://www.frsirt.com/societe.php
-- Je n'est plus besoin des headers, j'ai verifie sur dejanew, tous est ok. On c'est fait avoir par les dinos. Il n'y a plus qu'a chercher une solution constructive aux votes destructifs des dinos. -+- JL in : Guide du Neueu Usenet - Mode Calimero ON -+-
