¿Cómo denuncio un problema de seguridad sensible?


8

En Ubuntu 10.04 (y tal vez más tarde) parece haber una vulnerabilidad grave a un ataque de diccionario de fuerza bruta en cualquier servidor Apache que esté utilizando MySQL para validar los inicios de sesión de los usuarios.

Este problema significa que ni fail2ban ni Apache mod_security detectan el ataque.

Preferiría no enumerar los detalles aquí.

¿Podría alguien contactarme o explicarme cómo puedo informar el problema sin publicar la vulnerabilidad en todo el mundo?

Respuestas:


10

Deberá presentar un error en el paquete con el que tiene un problema. Puede usar estas instrucciones para informar un error . Una vez que se hayan recopilado todos los datos, LaunchPad abrirá una ventana y podrá continuar con el proceso de informe de errores.

Alternativamente, visite la página LaunchPad Ubuntu ( https://bugs.launchpad.net/ubuntu/+source/<PACKAGENAME>) y luego complete los detalles.

Una vez que se haya completado un resumen y detección de duplicados, pero antes de enviar su informe, habrá la siguiente opción en la parte inferior de la página que deberá seleccionar:

ingrese la descripción de la imagen aquí

Al hacerlo, este error quedará oculto y alertará al equipo de seguridad.


No quiero publicar el error en todo el mundo. Preferiría que alguien me contacte en mi correo electrónico.
Paul

OK ahora leí el final de tu publicación. Lo reportaré si está oculto.
Paul

2
@paul Solo será visible para los mantenedores y el equipo de seguridad.
Marco Ceppi
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.