Jak zgłosić delikatny problem dotyczący bezpieczeństwa?


8

W Ubuntu 10.04 (i być może później) wydaje się, że istnieje poważna podatność na atak słownika siłowego na dowolny serwer Apache, który używa MySQL do sprawdzania poprawności logowania użytkownika.

Ten problem oznacza, że ​​ani fail2ban, ani Apache mod_security nie wykrywają ataku.

Wolałbym nie wymieniać tutaj szczegółów.

Czy ktoś mógłby się ze mną skontaktować lub wyjaśnić, w jaki sposób mogę zgłosić problem bez ujawnienia luki w zabezpieczeniach na całym świecie?

Odpowiedzi:


10

Musisz zgłosić błąd w pakiecie, z którym masz problem. Możesz skorzystać z tych instrukcji, aby zgłosić błąd . Po zebraniu wszystkich danych LaunchPad otworzy okno i będziesz mógł kontynuować proces zgłaszania błędów.

Możesz też odwiedzić stronę LaunchPad Ubuntu ( https://bugs.launchpad.net/ubuntu/+source/<PACKAGENAME>), a następnie wypełnić szczegóły.

Po zakończeniu podsumowania i wykrywania duplikatów, ale przed przesłaniem raportu na dole strony pojawi się następująca opcja, którą należy wybrać:

wprowadź opis zdjęcia tutaj

W ten sposób ukryty zostanie ten błąd i zaalarmuje zespół bezpieczeństwa.


Nie chcę publikować błędu na całym świecie. Wolałbym, żeby ktoś skontaktował się ze mną na mój adres e-mail.
Paul

OK, teraz czytam koniec twojego postu. Zgłoszę to, jeśli jest ukryte.
Paul

2
@paul Będzie widoczny tylko dla opiekunów i zespołu bezpieczeństwa.
Marco Ceppi
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.