Come vengono assegnati e gestiti gli identificativi CVE?

9

Gli identificativi CVE (a.k.a.ID CVE) sono utilizzati per identificare univocamente una particolare vulnerabilità. Li abbiamo visti tutti su vari bollettini e sono utili quando si ricerca un problema. Ma come vengono assegnati? Quale processo è coinvolto nell'ottenere un ID CVE per un bug e come si integra il venditore con quel processo? Qualcuno può chiedere un ID CVE per un capriccio, o sono necessarie alcune prove o dettagli?

    
posta Polynomial 10.12.2012 - 13:53
fonte

2 risposte

7

Ci sono molti modi per ottenere un CVE.

Si potrebbe contattare una delle autorità di numerazione CVE (CNA), un team di risposta alle emergenze (si pensi al CERT) o il progetto CVE. Se il venditore di un prodotto è elencato come CNA, è necessario contattare il fornitore per ottenere un CVE.

È necessario fornire informazioni sufficienti per consentire all'assegnatore CVE di prendere una decisione (fornire CVE, fondersi con altri CVE ecc.)

Per ulteriori informazioni vedi link e link

Alcuni fornitori come Drupal richiederanno collettivamente identificativi CVE tramite openwall per annunci di sicurezza pubblicati che non hanno già richiesto un CVE dal ricercatore.

    
risposta data 10.12.2012 - 14:40
fonte
0

Solo un aggiornamento, questo processo sta cambiando, oltre ai CVE "evidence evidence" ci saranno CVE "request based" (per essere onesti è già una pratica che ho fatto per più di alcuni dei 5000 CVE che ho emesso, alcune persone di cui mi fido per fare richieste correttamente e non ho bisogno di molte prove perché hanno una storia di fare correttamente le loro richieste CVE).

    
risposta data 17.05.2016 - 21:30
fonte

Leggi altre domande sui tag