Recentemente ho segnalato una vulnerabilità di sicurezza ed è stata riparata. La patch (e il problema associato) sono entrambi allo scoperto in un repository Github (noto anche come pubblico). Ho contattato [email protected] per ottenere un identificativo CVE emesso per la vulnerabilità. Mi è stato rilasciato un identificativo CVE.
Devo fare qualcos'altro (ad esempio fornire un codice Proof of Concept ecc.) o ho finito?
Dato che hai fatto riferimento a Github, presumo che ciò sia relativo a qualche tipo di Come progetto open source, una nota a oss-sec è una buona idea. Questo lo porterà all'attenzione della maggior parte dei distributori a monte.
Non è necessario iscriversi per postare su oss-sec, ma è necessario osservare attentamente le linee guida sull'etichetta / sui contenuti nel link sopra. Un frugare attraverso gli archivi dovrebbe indirizzarti nella giusta direzione, questo è un post recente (dal manutentore della lista) il modulo di cui potresti utilmente copiare: link
Il NIST National Vulnerability Database è guidato dai dati CVE e dovrebbe essere aggiornato nel prossimo futuro, non suggeriscono quanto tempo potrebbe richiedere però. Anche le domande frequenti su NVD contengono alcuni dettagli utili, tra cui le procedure di contatto per le voci mancanti o errate. Suggerirei di dargli almeno due settimane (basato su prove empiriche) dopo che postate su oss-sec prima di eseguire il follow-up, tuttavia le persone CVE tendono ad essere occupate.
Leggi altre domande sui tag disclosure cve