Quale identificatore CVE seguirà dopo CVE-2012-9999?

5

Sto scrivendo un'applicazione che utilizza identificativi CVE per fare riferimento a vulnerabilità. Mi piacerebbe renderlo compatibile con i futuri identificatori CVE.

Se succede che ci sono più di 9999 identificatori CVE in un anno, quale numero seguirà dopo 9999?

Ad esempio, quale sarà l'identificativo dopo CVE-2012-9999? Sarà CVE-2012-10000 o qualcos'altro?

Il numero CVE più alto nel 2011 sembra essere CVE-2011-5096 quindi è solo una questione di tempo in cui questo diventa un vero problema.

Ho cercato di scoprirlo nel link ma posso trovare solo quanto segue:

CVE entries and candidates are of the form CVE-YYYY-XXXX where YYYY is a year, and XXXX is a number.

Questo non aiuta molto.

    
posta snap 05.08.2012 - 20:15
fonte

3 risposte

12

Il sistema Common Vulnerability and Exposures è gestito da > Mitre. The Mitre corporation gestisce l'elenco CVE e funge da organizzatore per la comunità CVE .

All'inizio dell'anno Mitre assegnerà blocchi di numeri CVE a varie autorità di numerazione CVE dal pieno 9998 disponibile (0001-9999). Di conseguenza, tutti i numeri CVE emessi da un'autorità entro un determinato anno rientrano in un intervallo. Ad esempio, nel 2012 tutti i numeri CVE pubblicati su prodotti Apple cadono all'interno della gamma CVE-2012-3600 . Mitre lascerà lo spazio non allocato per emettere nuovi numeri CVE se un'autorità CVE dovesse esaurire la propria offerta.

Quindi, per quanto riguarda la tua domanda? Cosa succede se hanno emesso 10.000 numeri CVE in un anno? Bene la maggior parte mai pubblicata è stata 6.608 nel 2006 . Così è stato vicino, ma dal 2006 c'è stato un tasso di declino inquietante, quindi non sembra che avremo mai emettere 10.000 numeri CVE in un anno. Se lo fossimo, sospetto che avremo CVE-2012-10000. Lo farebbero perché è normale, l'unico motivo per cui hanno lo schema a quattro cifre è quello di consentire la pre-assegnazione alle autorità CVE.

Dalla mia esperienza di mailing Mitre è solitamente il modo migliore per ottenere i numeri CVE. Ti trattano con rispetto e hanno la possibilità di preservare il tuo anonimato. Mitre lavorerà con i fornitori per assicurarsi che i problemi siano risolti e rilasciare un CVE al pubblico quando una correzione è disponibile.

    
risposta data 05.08.2012 - 21:17
fonte
3

Non è stato necessario emettere alcunché oltre al CVE-2012-9999 perché l'ultimo ID CVE emesso per il 2012 era CVE-2012-6700.

Da allora, MITER ha determinato che una situazione come quella che tu proponesti sarebbe gestita semplicemente aggiungendo cifre alla fine dell'ID quando necessario. Vedi la mia risposta su duplicato collegato per ulteriori dettagli.

    
risposta data 21.01.2016 - 20:34
fonte
1

Quindi ora abbiamo CVE più grandi (il progetto DWF link è stato assegnato CVE-YEAR-1000000 a CVE-YEAR-1999999) . Ho appena assegnato CVE-2016-1000000 a un problema rilevato da Tenable (Ipswitch WhatsUp Gold 16.4.1 WrFreeFormText.asp sUniqueID Parameter Blind SQL Injection). Quindi se non hai implementato il link ti trovi in un brutto momento.

    
risposta data 17.05.2016 - 21:56
fonte

Leggi altre domande sui tag