Comments 7
А эти synactiv не могли сначала связаться с разработчиками бинда и мажорными дистрибутивами, передать им детали и опубликовать сообщение без раскрытия деталей. А раскрыть PoC уже после патча или по прошествии нескольких дней-недели?

Ну вот нахрена так делать? Окей, я еще понимаю продажу 0day в даркнете, но это вот нахрена было так делать?
Это холиварная тема, и постоянно всплывает.

Одни утверждают, что надо сначала тихо исправить, а потом об этом сообщать, чтобы не пострадали другие(чтобы всякие скрипт-кидди не начали щас ломать всякую мелочь), вторые считают правильным всех предупредить, чтобы не пострадали другие(чтобы крупные компании знали о такой 0day, и не подвергались крупному риску).

И с той, и с другой стороны есть свои логичные аргументы, и всё зависит от целевой аудитории используемой уязвимости(программы).

Обычно вопрос в том, публиковать или нет (а если публиковать, то через какой срок) если компания-разработчик не торопится исправлять уязвимость. Вопроса "а стоит ли уведомить разработчика до публикации" обычно и не стоит — нормальные "белые шляпы" это делают.

Не ругайтесь, уже всё запатчили четыре дня назад https://www.debian.org/security/2017/dsa-3904
Only those users with full accounts are able to leave comments. Log in, please.
Information
Founded

1 January 2002

Location

Россия

Employees

501–1,000 employees

Registered

28 March 2011

Habr blog