[<上一页] [下一步>] [<thread-prev] [线程-下一步>] [天] [月] 【年】 [列表]
消息ID:<53445622.6020006@redhat.com>日期:2014年4月8日星期二14:03:46-0600发件人:Kurt Seifried<kseifried@…hat.com>收件人:oss-security@…ts.openwall.com主题:回复:OpenSSL 1.0.1 TLS/DTLS心跳信息披露CVE-2014-0160-----开始PGP签名消息-----哈希:SHA12014年8月4日下午01:37,Yves-Alexis Perez写道:>2014年4月8日星期二06:17:57PM+0300,Jussi Eronen写道:>>你好,>> >>2014年8月4日凌晨01:05,Yves-Alexis Perez写道:>>>2014年4月7日星期一下午01:56:27-0700,里德·洛登写道:>>>>这与发行版完全不协调吗?如果没有,>>>>这似乎是记者和NCSC-FI的重大失败>>>>部件:/>>> >>>周一早上(CEST)有一封来自Red Hat的邮件,没有>>>详细信息和至4月9日的客户需求日。似乎OpenSSL公告发布了>>>实际上,有点不协调,这(似乎)触发了>>>发布heartbeat和cloudfare帖子,以及>>>这里有一个红帽。>> >>我们在>>公告发布了。我们的计划是开始通知>>发行版和其他供应商在与OpenSSL讨论之后。>>Codenomicon在最初的报告中提到我们是协调员>>heartleed.com的文本,但当前文本反映了>>情况很好:>> >>“”“谁协调对此漏洞的响应?>> >>NCSC-FI承担了联系以下作者的任务:>>OpenSSL、软件、操作系统和设备供应商>>受到潜在影响。然而,发现了此漏洞>>以及在这项工作之前由其他人独立发布的详细信息>>已完成。供应商应通知其用户和>>服务提供商。互联网服务提供商应通知>>他们的最终用户何时何地需要采取潜在行动。"""> >感谢您的澄清。我想没人知道那些人是谁>“其他人”是谁独立发布的?> >我认为提供完整的时间表可能会有所帮助。这里有>我所知道的部分,请随意完成缺失的部分:> >有时(什么时候?):谷歌安全公司的Neel Mehta发现>漏洞稍后(何时?):Google Security通知>OpenSSL上周有时:有人(谁?OpenSSL?)不知道>CloudFlare(可能还有其他供应商)2014年4月7日星期一猜测:Mark>OpenSSL的Cox(也在Red Hat SRT工作)通知Red Hat>并授权他们分享2014年4月7日星期一秃鹫的详细信息>05:56:Huzaifa Sidhpurwala(RH)为Red Hat bugzilla Mon添加了一个bug,>2014年4月7日06:10:Huzaifa Sidhpurwala向发行版发送邮件>名单上没有详细信息,但提供了私下请求的提议,星期一,07>2014年4月15日30分:NCSC-FI向OpenSSL Mon报告问题,2014年4月份7日>16:53:修复被提交给OpenSSL git(不确定它是否公开>2014年4月7日,星期一:某人(谁?)>发布内容(什么,在哪里?)2014年4月7日星期一17:27:OpenSSL>发布公告2014年4月7日星期一18:00:CloudFlare发布博客>条目2014年4月7日星期一19:00:Heartbleed.com于09年星期三发布>2014年4月:首次客户需求日> >在那一刻,我们(Debian)开始了某种“公共场合”>房间”,我们试图尽快建立更新>试图找到更多关于这方面的信息(例如,我仍然>不确定在这些数据中找到一些有价值的数据到底有多容易>64kB的进程堆内存)。> >我必须承认,对该漏洞的处理真的不是>无论Cloudfare在想什么,我能找到的最好的披露>关于这个。> >似乎有些人真正了解这一点>早期,因为他们与相关项目接近(谷歌>安全、OpenSSL项目、Red Hat Security),我认为>很正常。但显然没有努力协调>直到碰撞模式有时被激活>4月7日(如果有人>注意到它被广泛利用了,但因为我们没有得到它>我们只能推测的信息)因此,要回答/澄清一些问题:Codenomicon和Google似乎发现了该漏洞独立地。谷歌向OpenSSL报告了此事。Codenomicon报告了它我不确定是谁(Codenomicon或NCSC-FI)驾驶了CloudFlare等的通知,他们还将其报告给OpenSSL(我不知道这是在通知OpenSSL之前还是之后)。1) 马克·考克斯(Mark J.Cox)没有给红帽任何提前警告,他强烈表示将他使用OpenSSL所做的与使用Red Hat所做的区分开来(这在Red Hat很常见,例如我们在Debian安全团队、Samba组等)。例如我有时提前发布私人简历,但他们没有提交错误等直到他们找到一个“公共”来源,比如distros@或oss-security@。2) Mark通知了Red Hat,你可以从公共时间线看到Huzaifa在BZ中输入了一个bug,然后通知了发行商@大约14几分钟后,基本上在同一时间。Red Hat SRT是全球性的这样一来,来自distros的任何人都可以通过电子邮件向我们发送详细信息得到了非常迅速的回应。3) 此时,计划在4月9日之前禁止这种行为(I忘记什么时间),给每个人2天以上的时间来处理。所以OpenSSL与Red Hat一起尝试进行协调响应与社区合作。4) 事情搞砸了。我的理解是,OpenSSL公开了这一点由于有更多的报告,我怀疑这归结为“发现了A组报告了这个缺陷,并有一个复制器,现在B组发现了同样的东西是独立的,也有一个复制器。机会是坏人也会做得更好,让每个人都知道谷仓的门现在开放,而不是再等2天”,但可能还有其他我不知道的因素。5) 周一早上:每个人都在争先恐后地准备补丁更新系统。6) 至少有一个供应商(CloudFlare)发布了一个博客条目,说明他们一周前收到Codenomicon/NCSC-FI的通知,并声称是通过“负责任的披露”。其他主要供应商没有通知(例如亚马逊:http://aws.amazon.com/security/security-buletins/hearthleed-bug-concern/).7) 至少有一家供应商(谷歌)独立发现了这一点理解它,修补他们自己的系统(这完全是可以理解)。>我不想指责别人,但我真诚地希望下次>如果发生这种情况,将在早期进行协调>流程和相关供应商将有机会进行准备>他们自己正如你在上面看到的,这是企图,但墨菲定律接管了。>有两天多一点的警告(或者根本没有警告)。而且>我知道要确定一个相关的群体并不总是那么容易>供应商,但即使为时已晚,协调披露和>唯一/权威的信息点确实有助于>每个人。> >谨致问候,- -- 库尔特·塞弗里德红帽安全响应小组(SRT)PGP:0x5E267993 A90B F995 7350 148F 66BF 7554 160D 4553 5E26 7993-----开始PGP签名-----版本:GnuPG v1iQIcBAEBAgAGBQJTRFYiAAoJEBYNRVNeJnmTsgIQANB/i6PUyGhELSG8kRPIoRtI公司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 SAy85UavKUFFFSwWSWeJ+prbxDxBuVFlqBJOdlHS09weTI0LMz2K问题1ycO8DX56IEhcsgww7qM8DoDhYNf5ZteyEw82PajBbWAfIkwSb41LjbQDfOxjiAbUTCpW7VHcATbmncJMUv9qH/=WLgM-----结束PGP签名-----
由blists提供支持-更多邮件列表
请查看开源软件安全Wiki,与此相对应邮件列表.
困惑邮件列表以及它们的用途?阅读维基百科上的邮件列表看看这些正确格式化邮件的准则.
