<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On 12 July 2015 at 03:31, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'd be concerned about doing that.  While this one seemed pretty rare -- only folks running a release less than 30 days old in production -- as a general rule, it's impossible to tell.  For example, we THINK that PSK isn't used much, but we have no idea -- it's real popular in the Internet of Things, for example.  It seems safer to say nothing, then to say something misleading or wrong.<br>
<br>
We'd like to give as much information as possible, but not enough to expose the vulnerability exploit and not anything that could be misleading.  It's a very hard point to triangulate.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-family:verdana,sans-serif">​I don't really see this being feasible. For example many of our clients get confused when we report openssl vulnerabilities against some SSL accelerator or proxy device simply because they're unaware that the code in the device is based on openssl.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Cheers</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Rich.</div><div class="gmail_default" style="font-family:verdana,sans-serif">​</div><br></div><div> </div></div></div></div>