Hace 6 meses, encontré un búfer desbordamiento git que tiene el mismo impacto que esta vulnerabilidad (con la excepción de que permite la ejecución del código del lado del servidor) . Se le asignaron varios cve y se corrigió completamente en sentido ascendente.
Sin embargo, 2 meses después de la solución de flujo ascendente, los detalles del Cve aún no se han publicado y casi ninguna distribución de Linux ha actualizado su rama estable.
Incluso me di cuenta de que wikimedia gerrit y bitbucket.org todavía eran vulnerables la semana pasada (advertí a las personas apropiadas y se resolvió en wikimedia) .
Definitivamente no puedo llevar la información a todos los proveedores. Sé que puede tardar años en ser publicado. Pero definitivamente no da la noticia como cve-2014-9390 .
¿Cómo publicitarlo ampliamente para que las personas y las distribuciones de Linux reparen sus máquinas?