Pull to refresh

Comments 7

Вы знаете что с этой уязвимостью надо делать.
А если TSIG не используется, можно выдохнуть?
UFO landed and left these words here
Это холиварная тема, и постоянно всплывает.

Одни утверждают, что надо сначала тихо исправить, а потом об этом сообщать, чтобы не пострадали другие(чтобы всякие скрипт-кидди не начали щас ломать всякую мелочь), вторые считают правильным всех предупредить, чтобы не пострадали другие(чтобы крупные компании знали о такой 0day, и не подвергались крупному риску).

И с той, и с другой стороны есть свои логичные аргументы, и всё зависит от целевой аудитории используемой уязвимости(программы).

Обычно вопрос в том, публиковать или нет (а если публиковать, то через какой срок) если компания-разработчик не торопится исправлять уязвимость. Вопроса "а стоит ли уведомить разработчика до публикации" обычно и не стоит — нормальные "белые шляпы" это делают.

Не ругайтесь, уже всё запатчили четыре дня назад https://www.debian.org/security/2017/dsa-3904
Only those users with full accounts are able to leave comments. Log in, please.