> Ha jól értem, ebben van egy olyan állítás, hogy a vendor-sec elavult lista, szerepét átvette a linux-distros.
pontosan, azzal kiegeszitve, hogy nem 'elavult', hanem siman megszunt letezni, miutan a hosztolo gepet feltortek tavaly es a regi adminok nem akartak ujrakezdeni. szerintem tuti volt rola itt is hir.
> Ezt az állítást nem cáfolja ez a hozzászólás?
cafolni cafolna, ha igaz lenne ;). direkt azert szedtem ossze a timeline-t es kerdeztem ra, hogy mi hibadzik. nem veletlen, hogy nincs ra valasz, sot azt is tudom (es tudtam mar elotte is), hogy nem is lesz ra valasz, mivel Kurt baratunk nagyon ocsmany modon behazudott egy nagyot.
> hanem a "régi" vendor-sec listán.
ilyen allat mar nincs ;). es megegyszer mondom, nem tortent semmi mas a vendorok iranyaban, ma direkt rakerdeztem Kees-nel erre, hogy ha en mult heten nem hivom fel a figyelmet erre a commit-ra/CVE-re, akkor vajon mikor ertesitettek volna a vendorokat. idezem a valaszat:
kees: when it was too late
kees: it would have just been the CVE request
kees: and eventually distros would have picked it up
kees: I'm extremely glad you guys called it to my attention
> A vendor-sec lista zárt (gondolom legalábbis az olvasottak alapján),
> úgyhogy publikus linket senki sem tud adni, ha (már) nem vagy feliratkozva.
linux-distros-ra atforditva (mivel vendor-sec nincs), valoban a lista zart, viszont semmibe nem kerul kijelentenie, hogy ki mikor es mit irt be, en utana le tudom ellenorizni (megkerdezem Kees-t, akiben Kurt-tal ellentetben megbizok). de mint mondtam, a linux-distros-ra *semmi* nem ment, azutan kezdtek el rola beszelgetni, hogy Kees kiverte a balhet. a timeline-bol az is vilagos, hogy a Red Hat alkalmazottak kepesek voltak a sajat hazuk tajan aznap reagalni, tehat semmi racionalis magyarazat nincs ra, hogy miert vartak a tobbiek ertesitesevel.
> Nem lehetetlen, hogy hozzátok hasonlóan Eugene vagy egy kollégája kiszúrta.
persze, hogy nem lehetetlen (bar ismerve az ott dolgozok eddig demonstralt kepessegeit ezt erosen ketlem), csak en kivancsi vagyok ra, hogy Eugene is a kernel security listarol kapta-e az informaciot, vagy sem. mert az elobbi esetben meg cifrabb lenne a dolog, hiszen olyan informaciobol kovacsolt elonyt a Red Hat-nek, amihez a tobbieknek szemmel lathatoan nem volt hozzaferesuk. szoval van itt egy par potencialisan csunya dolog a hatterben, kivancsi vagyok, mi fog kiderulni belole.
> Az is elképzelhető (mondom teljesen látatlanban, spekulációként),
> hogy az eredeti bejelentő Fedora-t vagy RHEL-t használt, és szólt külön.
az eredeti bejelentes a kernel security listara ment, nem vendornak.