Guvenlik Aciklarini Bildirme Sorunu

Dün sid ile birlikte wordpress' te sid' in bulduğu bir SQL Injection' ı exploit ederken MySQL de de bir DoS açığı bulduk. Basitçe çalıştırılan bir SQL komutu MySQL' ün uçmasına neden oluyor.

Wordpress ve MySQL açıkları yakında yayınlanacak, üreticilerle kontak ve patch sürecini bekliyoruz.

Komik olan şu ki MySQL' e bir açığı bildirmek için abuk subuk bir şeylere üye olup onların keyfine göre açığı o form üzerinden bildirmemiz gerekiyor. Buradaki açık ciddi bir sorun değil MySQL bu açığı kapamasa bile çok ciddi bir sorun olmaz belki, dolayısıyla umursamıyorlar diyebiliriz ama genel olarak baktığımızda siz onlara bir açık / sorunu söyleyerek iyilik yapıyorsunuz.

Bu durumu çeşitli versiyonlarda test edip, sonuçları  analiz etmişsiniz ancak onlar size adam gibi bir güvenlik e-mail adresi vermekten aciz bir sürü ekstra formalite çıkartıyor. "Yüz buldu astar istiyor" moduna giriyolar bence, bunu daha güzel ifade yöntemleri var ama malum burada çocukların ve gençlerin zihinsel gelişimine zarar vermeyen bir blog yazmaya çalışıyoruz.

Buradaki örnek MySQL ama durum sadece MySQL için geçerli değil bir çok büyük ve tamamen ticari firmalar da aynı şeyi yapıyor. Niye bunlarla uğraşıp kasıp, bu açıkları gönderelim ki? Belki de en iyisi security@example.com a gönderip gerisini takmamak.

2 hafta sonrada vurdum duymaz şekilde açığı detayları ve PoC ile birlikte yayınlamak. Şahsen işin white-hat boyutu olmasa gözüm kapalı bu şekilde giderdim.

Diğer bir örnek ise ASP.NET te bulduğum bir açığın 3 ay kadardır Microsoft' ta beklemesi -Çok yaşa MSRC!-. Neyse nihayet patch yazmaya başlamışlar, testler vs. den sonra o da yayınlanacakmış.

Bu arada genelde vendorların güvenlik iletişim adresleri için OSVDB yi kullanabilirsiniz.