Como relato um problema de segurança sensível?


8

No Ubuntu 10.04 (e talvez mais tarde), parece haver uma séria vulnerabilidade a um ataque de dicionário de força bruta em qualquer servidor Apache que esteja usando o MySQL para validar logins de usuários.

Esse problema significa que nem o fail2ban nem o Apache mod_security detectam o ataque.

Eu preferiria não listar os detalhes aqui.

Alguém poderia entrar em contato comigo ou me explicar como posso relatar o problema sem postar a vulnerabilidade em todo o mundo?

Respostas:


10

Você precisará registrar um bug no pacote com o qual está tendo problemas. Você pode usar estas instruções para relatar um erro . Depois que todos os dados forem coletados, o LaunchPad abrirá uma janela e você poderá continuar com o processo de relatório de erros.

Como alternativa, visite a página do LaunchPad Ubuntu ( https://bugs.launchpad.net/ubuntu/+source/<PACKAGENAME>) e preencha os detalhes.

Depois que um resumo e uma detecção duplicada forem concluídos, mas antes de enviar seu relatório, haverá a seguinte opção na parte inferior da página que você precisará selecionar:

insira a descrição da imagem aqui

Fazer isso ocultará esse bug e alertará a equipe de segurança.


Eu não quero postar o bug no mundo inteiro. Eu preferiria que alguém me contatasse no meu e-mail.
paul

OK, agora eu li o final do seu post. Vou denunciá-lo se estiver oculto.
paul

2
@paul Será visível apenas para os mantenedores e a equipe de segurança.
Marco Ceppi
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.