6 mesi fa, ho trovato un buffer overflow in git che ha lo stesso impatto di questa vulnerabilità (con l'esecuzione che consente l'esecuzione del codice lato server) . Ci sono stati assegnati diversi cv ed è stato completamente riparato a monte.
Tuttavia, 2 mesi dopo la correzione upstream, i dettagli cve non sono ancora stati pubblicati e quasi nessuna distribuzione Linux ha aggiornato il loro ramo stabile.
Ho anche notato che wikimedia gerrit e bitbucket.org erano ancora vulnerabili la scorsa settimana (ho avvertito le persone appropriate e si è risolto su wikimedia) .
Non posso assolutamente portare le informazioni a tutti i provider. So che potrebbero volerci anni perché un cve sia pubblicato. Ma sicuramente non infrange le notizie come cve-2014-9390 .
Come pubblicizzare ampiamente le persone e le distribuzioni Linux per riparare le loro macchine?