Gli identificativi CVE (a.k.a.ID CVE) sono utilizzati per identificare univocamente una particolare vulnerabilità. Li abbiamo visti tutti su vari bollettini e sono utili quando si ricerca un problema. Ma come vengono assegnati? Quale processo è coinvolto nell'ottenere un ID CVE per un bug e come si integra il venditore con quel processo? Qualcuno può chiedere un ID CVE per un capriccio, o sono necessarie alcune prove o dettagli?
Ci sono molti modi per ottenere un CVE.
Si potrebbe contattare una delle autorità di numerazione CVE (CNA), un team di risposta alle emergenze (si pensi al CERT) o il progetto CVE. Se il venditore di un prodotto è elencato come CNA, è necessario contattare il fornitore per ottenere un CVE.
È necessario fornire informazioni sufficienti per consentire all'assegnatore CVE di prendere una decisione (fornire CVE, fondersi con altri CVE ecc.)
Per ulteriori informazioni vedi link e link
Alcuni fornitori come Drupal richiederanno collettivamente identificativi CVE tramite openwall per annunci di sicurezza pubblicati che non hanno già richiesto un CVE dal ricercatore.
Solo un aggiornamento, questo processo sta cambiando, oltre ai CVE "evidence evidence" ci saranno CVE "request based" (per essere onesti è già una pratica che ho fatto per più di alcuni dei 5000 CVE che ho emesso, alcune persone di cui mi fido per fare richieste correttamente e non ho bisogno di molte prove perché hanno una storia di fare correttamente le loro richieste CVE).
Leggi altre domande sui tag known-vulnerabilities cve