/dev/null - Overig

CUPS 9.9 CVE

26-09-2024, 23:15 door Lupo, 4 reacties
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/
Reacties (4)
27-09-2024, 09:54 door Anoniem
Bedankt voor de link!
27-09-2024, 11:48 door Anoniem
Dank Lupo voor het ver verspreiden van de informatie al denk ik niet dat de originele link de beste is om te gebruiken.


Het is geen 9,9 en andere security consultants maken terecht gehakt van het hele verhaal als je de forums een beetje volgt.
Hoewel er hier overduidelijk een probleem is is het niet zo ernstig als gepresenteerd is het ronduit slecht geschreven en mag hij van geluk spreken dat ze zolang de tijd wouden nemen om het goed uit te zoeken.

Hij klaagt in feite over de procedure terwijl hij zelf het niet goed gevolgt heeft en ja als je een 9,9 ergens beweert en dit komt niet naar voren in je onderzoek dan kun je of twee dingen doen als andere partij. 1 het helemaal negeren en zeggen lever je sht goed aan of twee onderdeel stap voor stap ontleden tot het wel goed geformuleerd is intern een PoC ontwikkelen en dat kost tijd. Ze namen dit serieus en dat kost resources van beide kanten dat is hoe dit werkt. Dat je als zogenaamde onderzoeker niet weet hoe CVSS werkt is een cardinal sin en dat helpt dus echt niet het onderzoek als je tijdens een overleg stellig beweerd dat bepaalde conclussies niet kloppen terwijl ze vetted zijn

En nee nogmaals hij heeft absoluut een beveiliging probleem gevonden daar is geen misverstand over en dank daarvoor. Maar daarna ook een big f you naar Simone Margaritelli dezelfde gast voor het aanpassen van de responsible disclosure datum na het eerst zeggen aan te kondigen in oktober in plaats van september. Dit is *niet* de manier hoe je een probleem toelicht en niet hoe je goodwill maakt in de beveiliging wereld.

Neem het absoluut serieus maar doe je zelf en je team een plezier en lees een profesionele executive summary en uitleg.
https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities
27-09-2024, 12:53 door Anoniem
Check je spelling en ga zelf even goed lezen, de onderzoeker beweert niet dat dit een 9,9 is/was, dit heeft hij van een Red Hat security engineer overgenomen en hij twijfelt zelf ook aan de juisteheid van deze hoge score.
27-09-2024, 14:35 door Anoniem
Door Anoniem: Check je spelling en ga zelf even goed lezen, de onderzoeker beweert niet dat dit een 9,9 is/was, dit heeft hij van een Red Hat security engineer overgenomen en hij twijfelt zelf ook aan de juisteheid van deze hoge score.
Nee, hij heeft tijdens een lopend onderzoek er voor gekozen om een tweet uit te sturen, terwijl de officiële procedure nog gaande was. En dat is dom en dan kan je nog leuk zeggen dat jezelf het ook geen 9,9 vond, maar het was jouw beslissing als poster van de tweet om het te verspreiden.

Enig idee hoe vaak iets hoger of lager ingeschat wordt tijdens de onderzoeksfase? Daarom heb je redacties die de boel ook nog eens controleren bij wat groter ingerichte bureaus.

Dus nee ik hoef niet goed te lezen. Ik beoordeel degene op de domme beslissing niet op wat hij werkelijk dacht er *na* dat de tweet verspreid al was. Over spelling gesproken juisteheid? Pot verwijt de ketel noem ik dat. En daarmee heb ik het laatste erover gezegd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.