web-dev-qa-db-fra.com

Où divulguer une vulnérabilité Zero Day

Nous avons découvert une vulnérabilité dans une large gamme d'imprimantes Ricoh, où avec un simple fichier PostScript envoyé directement, il est possible de planter le périphérique.

Pour récupérer, vous avez besoin d'un accès physique à l'imprimante et d'un compte d'administration pour vider la file d'attente (sinon, après le redémarrage, le crash se reproduira).

Cela offre une attaque de déni de service simple et rapide. Si vous êtes sur le bon réseau, vous pouvez désactiver toutes les imprimantes en quelques secondes.

Nous avons essayé de contacter Ricoh pendant des mois (mais nous avons été plus ou moins silencieusement ignorés) et nous avons finalement pu parler avec la personne responsable dans notre pays. Il a déclaré ne pas voir le problème.

Étant donné que nous suivons les règles de divulgation responsable (Ricoh a été averti il ​​y a un mois) et qu'ils ont clairement déclaré qu'ils ne régleraient pas le problème: devrions-nous divulguer le problème?

55
Matteo

Vous devez demander un ID CVE à MITRE ( https://cve.mitre.org/cve/request_id.html ), qui est l'ANC responsable de cela.

Vous pouvez ensuite le divulguer sur des listes de diffusion de sécurité comme Bugtraq ou FullDisclosure. Les magazines de sécurité et les sites d'actualités pourraient également être intéressés par cette vulnérabilité. Vous pouvez les contacter directement et leur demander s'ils souhaitent publier la vulnérabilité. Bien qu'ils suivent de toute façon Bugtraq et FullDisclosure.

37
D.O.

Si vous souhaitez révéler une vulnérabilité, je vous suggère de contacter le bon CNA. Vous pouvez trouver une liste sous ce lien . Vous pouvez maintenant demander un ID CVE et tout se passe si cette vulnérabilité existe vraiment.

10
CDRohling