Pubblicare un exploit dopo il contatto del fornitore e l'applicazione di patch [duplicato]

6

Recentemente ho scoperto diversi seri problemi di sicurezza nel prodotto di un fornitore. Ho lavorato con loro e hanno appena rilasciato una patch.

Comprendo che questo è un campo molto competitivo, quindi vorrei pubblicare i miei risultati come un modo per guadagnare credibilità per la strada.

La società non sembra pubblicare nulla pubblicamente su correzioni e nessun CVE. È il prossimo passo corretto per chiedere e ottenere un numero di identificazione CVE per ogni exploit e quindi pubblicare il mio articolo che collega a tali CVE?

    
posta Jason 02.09.2016 - 15:10
fonte

1 risposta

3

Is the next correct step to ask and get a CVE identification number for each exploit and then publish my paper linking to those CVEs?

A titolo di cortesia, informo il venditore che intendi pubblicare. Potrebbero voler inviare prima comunicazioni private ai propri clienti per dare loro il tempo di aggiornarsi. Normalmente lo menzioni quando contatti il venditore, ma se non lo facessi, meglio tardi che mai.

Se è possibile ottenere un CVE tramite il processo descritto di seguito, allora sì, collegherebbe ciascuna vulnerabilità al proprio CVE. Potresti anche voler pubblicare il tuo rapporto su una mailing list.

È necessario un CVE?

Can I just release this paper or do I need to get a CV Number as well

Non è necessario un CVE da divulgare, ma è consigliabile, se è possibile ottenerne uno (la propria vulnerabilità potrebbe non essere idonea per un CVE, ad esempio se si tratta di software closed source che non è elencato da MITER, o MITER potrebbe non essere in grado di assegnarti un CVE in un modo tempestivo ).

L'idea alla base dei CVE è di avere un modo centralizzato per identificare le vulnerabilità della sicurezza, il che rende più facile distinguere tra diversi problemi tra diversi strumenti o database di vulnerabilità.

Quindi, se possibile, sarebbe meglio acquisire un CVE prima della pubblicazione, in modo che altri possano identificare facilmente la vulnerabilità e evitare assegnazioni duplicate.

Come ottenere un CVE (nel 2016 +)

Nell'agosto 2016, MITER ha cambiato il processo di richiesta CVE basato su e-mail in un processo basato su webform. Nel processo, hanno anche cambiato le regole su quali vulnerabilità possono richiedere direttamente i CVE.

Per quanto comprendo in base a questo documento , funziona in questo modo:

  1. se il prodotto interessato è assegnato a CNA , è necessario richiedere un CVE da quel CNA allo stesso tempo in cui viene segnalata la vulnerabilità.
  2. in caso contrario, puoi contattare CERT / CC (presumo prima di divulgare) o una mailing list (durante la divulgazione).
  3. se il prodotto interessato è in una lista apparentemente arbitraria di software , il CVE deve essere richiesto dopo che è stato segnalato al fornitore, ma prima che pubblica la vulnerabilità. Questa richiesta dovrebbe essere effettuata tramite il modulo web CVE di MITER .
  4. se il prodotto interessato non è nell'elenco ed è open source, il CVE deve essere richiesto dopo che è stato pubblicato, tramite questo google docs form (se divulgherai tramite una mailing list, mi assicurerei di includere un link per evitare il doppio incarico CVE)

Per il tuo caso, il punto 1. non sembra essere il caso. È possibile inviare la divulgazione a una mailing list (punto 2), ma non mi aspetto di ottenere un CVE. Se il venditore è in 3., è possibile utilizzare il webform per richiedere un CVE. 4. non si applica, quindi se nessuno dei precedenti punti applicati (ad esempio se è chiuso software non incluso nell'elenco dei prodotti coperti), non è possibile ottenere un CVE.

    
risposta data 02.09.2016 - 17:33
fonte

Leggi altre domande sui tag