Wie melde ich ein sensibles Sicherheitsproblem?

8

In Ubuntu 10.04 (und möglicherweise später) scheint eine ernsthafte Sicherheitslücke für einen Brute-Force-Wörterbuchangriff auf einen Apache-Server zu bestehen, der MySQL zum Überprüfen von Benutzeranmeldungen verwendet.

Dieses Problem bedeutet, dass weder fail2ban noch Apache mod_security den Angriff erkennen.

Ich würde es vorziehen, das Detail hier nicht aufzulisten.

Könnte mich jemand kontaktieren oder mir erklären, wie ich das Problem melden kann, ohne die Sicherheitsanfälligkeit auf der ganzen Welt zu veröffentlichen?

security paul
quelle

Antworten:

10

Sie müssen einen Fehler gegen das Paket melden, mit dem Sie ein Problem haben. Mit diesen Anweisungen können Sie einen Fehler melden . Sobald alle Daten gesammelt sind, öffnet LaunchPad ein Fenster und Sie können mit der Fehlerberichterstattung fortfahren.

Besuchen Sie alternativ die LaunchPad Ubuntu-Seite ( https://bugs.launchpad.net/ubuntu/+source/<PACKAGENAME>) und füllen Sie die Details aus.

Sobald eine Zusammenfassung und eine Duplikaterkennung abgeschlossen sind, aber bevor Sie Ihren Bericht senden, müssen Sie unten auf der Seite die folgende Option auswählen:

Geben Sie hier die Bildbeschreibung ein

Dadurch wird dieser Fehler ausgeblendet und das Sicherheitsteam benachrichtigt.

Marco Ceppi
quelle
Ich möchte den Fehler nicht auf der ganzen Welt veröffentlichen. Ich würde es vorziehen, wenn mich jemand per E-Mail kontaktiert.
Paul
OK, jetzt habe ich das Ende Ihres Beitrags gelesen. Ich werde es melden, wenn es versteckt ist.
Paul
2
@paul Es ist nur für die Betreuer und das Sicherheitsteam sichtbar.
Marco Ceppi