Cosa devo fare se non ottengo risposta da una mailing list di sicurezza a cui ho segnalato una vulnerabilità?

0

Due settimane fa ho segnalato una vulnerabilità a una mailing list di sicurezza di una grande organizzazione di software open source. Ho fornito dettagli su come riprodurre il problema e il luogo esatto nel codice in cui si trova il bug che causa la vulnerabilità. Finora non ho ancora ricevuto alcuna risposta. Ho anche scritto a uno dei principali sviluppatori chiedendo se è stato reso consapevole del problema. Finora non c'è stata alcuna risposta da parte sua.

Il componente su cui si basa la vulnerabilità non è stato rilasciato da anni, anche se c'è ancora qualche sviluppo in corso ed è ancora ampiamente utilizzato.

È normale che il feedback duri così a lungo? Cosa dovrei fare al riguardo?

    
posta SpaceTrucker 26.02.2015 - 08:45
fonte

1 risposta

1

A volte non ricevi mai alcun feedback. Fa parte del gioco. Potrebbe anche essere il caso di un sacco di persone che lo passano come "non è il loro lavoro da guardare a questo problema / componente", infatti è possibile che nessuno stia lavorando su quel componente specifico più ...

P.S. Immagino tu abbia un numero di cve e lo includa nel rapporto?

    
risposta data 26.02.2015 - 08:54
fonte

Leggi altre domande sui tag