OpenBSD ist - wie w1.fi für hostapd/wpasupplicant - Hersteller von WPA2-Software und wurde am 14./15. Juli informiert.mat6937 hat geschrieben:18.10.2017 21:48:10Warum wurde OpenBSD _direkt_ vom Entdecker (der Schwachstelle) informiert und konnte deshalb schon im Juli die betroffene Software patchen und warum ist Debian erst vom Softwarehersteller (wpa_supplicant/hostapd) am 16. Oktober informiert worden?
OpenBSD hat - eigenmächtig - Patches am 30. August veröffentlich.
vgl. auch https://www.krackattacks.com/ ganz unten:
"When did you first notify vendors about the vulnerability?" sowie
"Why did OpenBSD silently release a patch before the embargo?"
Debian - als Distributor - wurde am 28. August informiert vom CERT:
http://www.kb.cert.org/vuls/id/228519
Dass der Folder https://w1.fi/security/2017-1/ erst zum 16. Oktober und nicht schon zum 2. Oktober sichtbar - für die Öffentlichkeit - war, ist meine Interpretation, die nicht stimmen muss.
Im git-repository von w1.fi tauchen die Patches jedenfalls erst ab ca. 23:00 Uhr 15. Oktober auf:
https://w1.fi/cgit/hostap/commit/?id=0e ... 54ad6a9449 und ff.
Kann gut sein, dass AVM sich übers OpenBSD "Vorpreschen" aufgeregt hat.