Comment signaler un problème de sécurité sensible?


8

Dans Ubuntu 10.04 (et peut-être plus tard), il semble y avoir une sérieuse vulnérabilité à une attaque par dictionnaire de force brute sur tout serveur Apache qui utilise MySQL pour valider les connexions utilisateur.

Ce problème signifie que ni fail2ban ni Apache mod_security ne détectent l'attaque.

Je préférerais ne pas énumérer les détails ici.

Quelqu'un pourrait-il me contacter ou m'expliquer comment je peux signaler le problème sans publier la vulnérabilité dans le monde entier?

Réponses:


10

Vous devrez déposer un bogue contre le package avec lequel vous rencontrez un problème. Vous pouvez utiliser ces instructions pour signaler un bogue . Une fois toutes les données collectées, LaunchPad ouvrira une fenêtre et vous pourrez poursuivre le processus de rapport de bogue.

Sinon, visitez la page LaunchPad Ubuntu ( https://bugs.launchpad.net/ubuntu/+source/<PACKAGENAME>) puis remplissez les détails.

Une fois le résumé et la détection des doublons terminés, mais avant de soumettre votre rapport, il y aura l'option suivante au bas de la page que vous devrez sélectionner:

entrez la description de l'image ici

Cela rendra ce bug caché et alertera l'équipe de sécurité.


Je ne veux pas publier le bug dans le monde entier. Je préférerais que quelqu'un me contacte sur mon email.
Paul

OK maintenant j'ai lu la fin de votre message. Je le signalerai s'il est caché.
Paul

2
@paul Il ne sera visible que par les responsables et l'équipe de sécurité.
Marco Ceppi
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.