Ecco la poca serietà!

Oggi mi trovo a scrivere di un problema che ogni tanto si localizza nell’open source italiano, quello della poca serietà.

Non voglio fare di tutta un’erba un fascio ma mi sono già capitate due situazioni nell’arco di un anno. Se calcoliamo che io, i produttori open source di script per il web, li sentirò al massimo tre volte in un anno facciamo una buona media.

Partiamo dall’inizio, mi è capitato tempo indietro, di scovare un pericoloso bug di SQL injection che dava la possibilità di loggarsi come admin nello script. Dopo aver scoperto il bug come buon bughunter ho cercato con Google quanta gente e siti utilizzassero tale script.

Il risultato è stato che tale script è utilizzato da un noto ed importante portale italiano che fa parecchi visitatori al mese e che vende, tramite tale script, parecchio! (Non chiedetemi come lo so…. :-) ).

Ora avviso gli sviluppatori e li comunico anche di segnalarlo a tale sito, dato che è uno dei loro maggiori clienti! La loro risposta???:

Se ne accorgeranno e lo aggiorneranno, noi abbiamo già rilasciato la patch e siamo apposto…

Ma che cavolo di risposta è?? Non da persona seria sicuramente.

Bè fatto sta che qualche settimana indietro sono ricapitato su questo grosso sito italiano, allora mi è tornato in mente quanto avevo scoperto, ho fatto una prova per vedere se avevano aggiornato e secondo voi che risultato ha dato???

Ovviamente Positivo! Il portale era ancora vulnerabile…

Ora torniamo al presente, il vero motivo del mio sfogo di oggi!

La settimana scorsa su un noto portale di exploit archive sono stati segnalati diversi bug su uno script italiano open source quasi-molto utilizzato (anche da me…).

Ora dato che gli sviluppatori di tale script sono rimasti in pochi e sembra che al lato sicurezza non siano molto interessati mi sono preso la briga (è già la seconda volta) di avvisarli. Mi hanno risposto subito, ringraziandomi, fin qui tutto bene. Peccato che ora mai sarà passata una settimana e di patch nemmeno l’ombra!

Allora li ho ricontattati per sapere un po la situazione sullo sviluppo della patch, nessuna risposta. Allora mi sono rotto e mi sono guardato lo script, l’exploit ed ho cercato di fare una patch non ufficiale. Poi ovviamente li ho contattati ancora e gli ho inviato la patch, da controllare perchè sicuramente può avere degli errori!

Ma ancora nessuna risposta..

Mi tornano in mente le parole di un mio collega supporter che si è sempre lamentato del fatto che in Italia l’open source è proprio scadente… Purtroppo a volte è vero, forse troppe volte…

[tags]open source, patch, bug, exploit, serietà[/tags]

About Mello

Facente funzione di farsi i cazzi suoi!
This entry was posted in Security Center. Bookmark the permalink.

One Response to Ecco la poca serietà!

  1. Ocram says:

    Purtroppo non rappresenta la situazione generale ma anche a me è capitato in diverse occasioni di notare tale poca serietà.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *