在 github 仓库 指出潜在的安全隐患后 被删 issue

2022-01-03 16:00:28 +08:00
 devliu1
在 github 和 dockerhub 看中了一个比较流行的镜像:hwdsl2/setup-ipsec-vpn 。

简单查看源码时发现作者为了提醒用户升级版本,在脚本中加入了一段代码:

https://github.com/hwdsl2/docker-ipsec-vpn-server/blob/master/run.sh#L638-L659

这段代码统计了服务器的一些信息( IP 、系统、版本),如果有 0day 爆出,作者有直接利用的可能。

另外,我怀疑这段代码可以绕过,或者在某次更新没有注意又引入了可被绕过的 bug 。

为此新开了个 issue ,作者回复后就立即关闭以及删除 issue 。

不知道大家怎么看?
7637 次点击
所在节点    GitHub
46 条回复
hccsoul
2022-01-04 11:44:52 +08:00
个人感觉可能被利用的漏洞还是和作者单独交流比较好,公开出来总感觉有心术不正的人来利用,作者删掉那个 issue,可能是去除潜在的被利用的风险.
mr0joker
2022-01-04 12:26:15 +08:00
@devliu1 作者已经修复且回复了,我觉得可以开个回复向关注了该贴的 v 友说明下
wph95
2022-01-04 13:43:17 +08:00
> 在 github 仓库 指出潜在的安全隐患后 被删 issue
> 为此新开了个 issue ,作者回复后就立即关闭以及删除 issue 。

repo 作者做的没问题
https://docs.github.com/en/code-security/security-advisories/about-coordinated-disclosure-of-security-vulnerabilities
https://docs.github.com/en/code-security/security-advisories/creating-a-security-advisory

> 漏洞报告者的最佳实践
私下向维护者报告漏洞是一项良好的做法。 如果可能,作为漏洞报告者,我们建议您避免:
- 公开披露漏洞而不给维护者补救的机会。
- 绕过维护者。
- 在代码的修复版可用之前披露漏洞。
- 在没有公共奖励方案的情况下,报告某个问题时期望得到补偿。
漏洞报告者如果已尝试联系维护者但未收到回复,或与已联系他们但被要求等待很久才能披露,则在一段时间后公开披露漏洞是可以接受的。
Lothar
2022-01-04 14:13:15 +08:00
V 站真就 “全球工单响应系统” 比啥都快
kangkang
2022-01-04 14:23:21 +08:00
这他娘的才是我想逛的 V2 +1
devliu1
2022-01-04 15:27:16 +08:00
借用一下 @momocraft 的回复

> 公开就能被利用的安全漏洞需要保密
> 公开了旁人也无法利用的漏洞也要这样吗?

Sorry ,标题可能有些误导嫌疑,几位说的没有错,但是可能也没完整看完帖子之前讨论的内容 @lance6716 @zouzou0208 @SuperMaxine @hccsoul @wph95

我还是重新说明一下为什么直接发 issue 而不是发邮件联系:

**这里的漏洞不是能被旁人利用的漏洞,而是怀疑有后门**,公开这个漏洞对于公众利大于弊。

我一时间没有找到绕过的方法,想通过 issue 区让更多的使用者来验证是否有安全问题,之前也提到过发贴是因我认为作者**回复没有问题并删 issue**的行为很不合适。

从技术角度,即使已经加了过滤, `source` 仍然是不妥的行为。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/825909

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX