Dove si trova il primo riferimento online al bug "HeartBleed"?

0

Da quello che so, sembra che il bug HeartBleed si sia verificato circa 15 ore fa. Come per heartbleed.com , il bug HeartBleed è stato scoperto in modo indipendente da un team di ingegneri della sicurezza presso Codenomicon.

In che modo il pubblico è venuto a conoscenza delle notizie?

Dov'è il primo riferimento online al bug "HeartBleed"?

    
posta Pacerier 08.04.2014 - 17:34
fonte

2 risposte

4

L'utente di Hackernews eastdakota (probabilmente Matthew Prince) è l'amministratore delegato e co-fondatore di CloudFlare (secondo il HN bio) e ha dichiarato pubblicamente che :

One of the individuals who discovered the [Heartbleed] bug contacted us as a large provider of SSL termination services. We were asked not to further disclose the details until it was officially patched and announced by OpenSSL. The official announcement occurred today after which we put up a post to let our customers know that they were protected.

E :

...we held the post informing our customers that they were protected from the bug until after it was officially announced by the organizations that had discovered it as well as by OpenSSL

E anche :

The bug was discovered by a researcher at Google and three engineers at Codenomicon.

Crediti :

The vulnerability was first reported to OpenSSL by Neel Mehta from Google Security. Matti Kamunen, Antti Karjalainen and Riku Hietamäki from Codenomicon Oy reported the vulnerability to NCSC-FI, who reported it in turn to OpenSSL. NCSC-FI would like to thank Codenomicon for reporting and analysing the vulnerability.

Il sito heartbleed.com è registrato su Codenomicon

Domain Name: HEARTBLEED.COM
Registrar URL: http://www.godaddy.com
Registrant Name: Marko Laakso
Registrant Organization: Codenomicon Oy

Quindi, passando da ciò che Matthew ha detto, sembra che la prima divulgazione pubblica sia stata l' Advisory sulla sicurezza di OpenSSL o heartbleed.com, e il resto è storia.

Il post sul blog di Cloudflare ha 21 ore al giorno d'oggi, con il post di Hackernews ora a 20 ore, quindi gli annunci iniziali di OpenSSL / heartbleed.com probabilmente non sono molto più vecchi di quello.

Modifica: heartbleed.com ora afferma:

Advisory sulla sicurezza di OpenSSL (pubblicato il 7 aprile 2014, ~ 17: 30 UTC)
Inserimento nel blog di Cloudflare (pubblicato il 7 aprile 2014, ~ 18: 00 UTC)
heartbleed.com (pubblicato il 7 aprile 2014, ~ 19: 00 UTC)

    
risposta data 08.04.2014 - 18:09
fonte
1

Sono stato avvisato per la prima volta di questo sito lunedì alle 17:55 EST attraverso un gruppo di discussione sulla sicurezza. link Il sito ha numerosi riferimenti a informazioni sul bug.

    
risposta data 08.04.2014 - 18:04
fonte

Leggi altre domande sui tag