OFF: Először is kösz, hogy javítottad az eredeti "beküldés"-t...sajnos az angoltudásom az istennek nem akar javulni, pedig folyamatosan pecselem. de valami design error lehet. :)
ON: Az egész tudtommal úgy indult, hogy egy nemlétező címmel rendelkező cég kikáltott egy lokális priv. emelési bugot a grsecben hogy majd fél év mulva közli a részleteket, addig az exploit a 80000 dolcsis "csomagban" elérhető.
Ez fedte az igazságot? nem. akkor most FUD, avgy nem FUD ? döntsd el...
Namost egy olyan cégtől elnézést kérni, amelyik látszólag se nem létezik, se nem közli a hibaleírást, csak miután "felpiszkálják", és akkor sem arról a hibáról, amit eredetileg bejelentett (expand_stack nem egyenlő find_extend_vma() ?, és még a "hatás" sem az amit bejelentett (local root nem egyenlő local DoS), hát nem azért, de talán mégse kéne...és azt nem elfelejtve hoyg elkért ezért 80000 dolcsit... ;-)
/ gondold bele magad fordított helyzetbe. ha mondjuk - vicc kedvéért :-) - a HuP kódjában hibát találnék, amivel bárki nevében tudnék írkálni a fórumon, mert hibás a bejelentkezéskezelő modul. aztán közlöm hogy mégse tudok írkálni a fórumon mások nevében, csak mondjuk a háttérképet tudom megváltoztatni, és a hiba nem is a bejelentkezőmodulban van. te elnézést kérnél ? ;-)) most tényleg csak a "morális" kérdés miatt mondtam ilyen extrém valótlan esetet. /
Az egyedüli hátránya az eseményeknek talán az, hogy 1-1,5 (?) napig 0day local DoS kód került ki. De ezt végülis nem lehetett védeni jelen esetben. mert ha nem kiált a grsec FUDot, akkor valszeg fél év mulva jön ki a DA-től az újabb info.
OFF: Hol vannak már a régi szép idők, mikor a hiba felfedezője először a "gyártónak" küldte az infot, és javítás kikerülés után jött az advisory...régi szép idők... nem pedig 80.000 dolcsit követelt nemlétező címen levő cégnevében ?
-----------
Nem a zsömle kicsi, a pofátok nagy...