Come creare esattamente un CVE? [duplicare]

7

Ho trovato un exploit di overflow dell'heap per una vulnerabilità nei server git. Ciò ha portato a operazioni redditizie su vari programmi di bug bug (GitHub ha già promesso di mettermi nella top 10) .

Quando era corretto di recente , il caso dell'esecuzione di codice remoto non è stato identificato.
Come risultato, molte distribuzioni Linux così come i prodotti commerciali principali come Apple osx continuano a distribuire versioni interessate.

Quindi, penso che sia giunto il momento di fare una grande pubblicità sulla vulnerabilità e che un CVE condiviso su tutti possa essere il modo migliore per raggiungere questo obiettivo.

Ciò richiederebbe semplicemente l'età se dovessi contattarli tutti.

Aggiornamento:

Per chi cerca i dettagli, aspetta che il mio profilo appaia nella pagina principale di questo sito . Inoltre, non tenterò nulla finché il problema non verrà risolto con il venditore.

    
posta user2284570 11.12.2015 - 03:40
fonte

1 risposta

3

Come Ohnana ha anche menzionato il modo per richiedere un CVE formale è attraverso la loro forma di assunzione.

link

Dettagli di un'istantanea corrente di quel sito web

Metodi principali Contatta una delle istanze di numerazione CVE ufficialmente riconosciute , che includerà quindi un numero identificativo CVE in il suo annuncio pubblico iniziale sulla tua nuova vulnerabilità.

Oppure contatta un team di risposta alle emergenze come CERT / CC , ecc., pubblica le informazioni in mailing list come Bugtraq o fornire le informazioni a un team di analisi delle vulnerabilità.

Metodo alternativo Se non si è in grado di ottenere un numero identificativo CVE tramite i metodi principali di cui sopra, è possibile richiedere un numero identificativo CVE direttamente dal progetto CVE. Per prenotare un numero identificativo CVE prima di pubblicizzare una nuova vulnerabilità, i ricercatori delle vulnerabilità possono contattare [email protected] e ti forniremo il nostro documento "Linee guida per la prenotazione dei CVE-ID per ricercatori". Lavoreremo quindi con te per assegnare un numero identificativo CVE per il problema mentre lavori attraverso il processo di divulgazione pubblica della vulnerabilità.

Rivedi le responsabilità dei ricercatori. link

Aggiunta di un collegamento alle domande frequenti su CVE. link

    
risposta data 11.12.2015 - 23:32
fonte

Leggi altre domande sui tag