exploit gastenboek software

Ik heb dit wel eens gehad bij een grote printer fabrikant (DoS exploit). (Met creatief googlen wel terug te vinden denk ik ) Heb de fabrikant daar toen over gemaild en na 4 weken op een zero-day lijst gezet aangezien er na diverse mails nog geen enkele reactie was gekomen. Binnen een mum van tijd was het exploit op alle belangrijke websites terug te vinden (osvdb, cve, securityfocus etc), een patch is ondanks dit echter nooit gemaakt.

Maak je het niet bekend dan weet je dat de kans heel laag is dat er gepatched gaat worden terwijl het lek wel gewoon uitgebuit kan worden. Publiceer je het dan is de kans groter dat er misbruik van gemaakt kan worden maar zal er misschien wel sneller gepatched worden of hebben andere gebruikers een workaround voor het issue.

Maar ja, deze discussie blijf je met exploits altijd houden.

Als de makers zou geen reactie geven, zou ik een mail met de advisory sturen naar deze twee mailinglists:

• Buqtraq
• Full-disclosure

JayTaph schreef op donderdag 24 mei 2007 @ 12:24:
Tijd voor een grotere klok dus, alleen hoe kan ik dat het beste gaan aanpakken. Posten in 0-day-exploits is me een beetje cru

Het is misschien wel een beetje cru, maar als het bedrijf niet eens de moeite neemt om even mailtje terug te sturen is het toch wel hun eigen fout.

En jij zoekt tenminste nog contact met het bedrijf. Je ziet vaak genoeg dat ze het gelijk posten op deze mailinglists zonder dat de maker kans heeft gehad de fout te verhelpen.

sh4d0wman schreef op donderdag 24 mei 2007 @ 12:34:
Maak je het niet bekend dan weet je dat de kans heel laag is dat er gepatched gaat worden terwijl het lek wel gewoon uitgebuit kan worden. Publiceer je het dan is de kans groter dat er misbruik van gemaakt kan worden maar zal er misschien wel sneller gepatched worden of hebben andere gebruikers een workaround voor het issue.

Als je het lek publiekelijk maakt dwing je de fabrikant eigenlijk om het lek te repareren. Al gebeurt het niet altijd.

hack op hun eigen board (ervan uit gaant dat die ook dezelfde fout bevat) een van de admin accounts door er een ander wachtwoord in te zetten, en stuur ze daarna nog een mailtje dat het je menis is. Dus als ze niet reageren/fixe, dat je t openbaar gaat maken?

EvilWhiteDragon schreef op donderdag 24 mei 2007 @ 12:38:
hack op hun eigen board (ervan uit gaant dat die ook dezelfde fout bevat) een van de admin accounts door er een ander wachtwoord in te zetten, en stuur ze daarna nog een mailtje dat het je menis is.

Haha, ja en dan een rechtzaak aan je broek hebben hangen zeker? Slecht idee....

Gewoon allereerst netjes melden aan de fabrikant.
Mocht je binnen een aantal weken geen reactie hebben, dan gewoon naar buiten brengen via SecurityFocus.
SF wordt door veel fabrikanten in de gaten gehouden en daardoor is het misschien wel een harde maar duidelijk hint

Naar de redactie van t.net mailen en dan kijken we wel of het interessant is?

Mja als et op t.net staat is het snel bekend. Mss nog wel vetter dan op een of andere list droppen

Dat de makers het niet interresant vinden, houd niet in dat het noemen van de naam van het pakket misschien wel handig is.

Dat jij nu die exploit vind, en het netjes meldt bij de devvers is goed. Maar als morgen iemand anders die zelfde exploit vind, en het wel openbaar maakt...

Als de naam van het pakket dus wel genoemd wordt, en iemand op GoT gebruikt de software, kan die persoon er voor kiezen om het eveuteel uit te zetten voor dat er kwaad geschied.

JayTaph schreef op donderdag 24 mei 2007 @ 17:36:
[...]
Och wat heet interessant.. nieuwswaarde 0 me dunkt..

Er is wel eens vaker als eerste op t.net een exploit neer gezet die niet werdt gedicht, en opzich is het toch wel interessant nieuws als alle versie's onveilig zijn.
Kijk maar bijvoorbeeld naar nieuws: Nederlandse tiener ontdekt lek in Microsofts Live-dienst

nieuws: XSS-exploit door Microsoft betiteld als 'by design'

Een of ander "free simple guestbook" boeit ons niet, maar als het nou bvb om iets van formaat vBulletin zou gaan...

Voor de TS: heb je nog nieuws hierover?