Cosa fare se un fornitore non assegna un CVE per una vulnerabilità di riconoscimento?

Question

Cosa fare se un fornitore non assegna un CVE per una vulnerabilità di riconoscimento?

#1 da (2 voti)
#2 da (0 voti)

5

Abbiamo rilevato una vulnerabilità di sicurezza in un prodotto diffuso di una grande azienda IT (la società è elencata come CNA qui: link ).

Abbiamo informato la società, hanno riconosciuto il problema e rilasceranno una patch per questo.

Abbiamo chiesto specificamente di assegnare un CVE alla vulnerabilità che abbiamo trovato, ma ci hanno risposto fornendo un "identificatore di bug" interno.

È un comportamento "normale"?

Come possiamo ottenere un CVE se non ne assegna uno al bug che abbiamo trovato?

Grazie

disclosure cve

posta user45614 29.04.2014 - 00:21

fonte

2 risposte

Leggi altre domande sui tag disclosure cve

TLS con non ripudio; cosa è successo con "TLS Sign"? Cripta i dati utente quando accedono con Facebook, Gmail, ecc

score 2 · Answer 1

Molto probabilmente vorrebbero rilasciare una patch prima di creare un CVE pubblico. Se rilasciassero un CVE pubblico prima di correggerli, si dannerebbero solo se stessi, poiché la versione corrente sarebbe aperta agli attacchi. Una volta rilasciata una patch e sono in grado di notificare i propri clienti, mi aspetterei che rilasciano un CVE per attirare l'attenzione del pubblico.

score 0 · Answer 2

Ottenere un CVE e "rilasciarlo" non significa che lo sfruttamento avverrà, ma anche i dettagli sulla vulnerabilità. Inoltre è meno ideale andare su "CVE shopping" quando un CNA non sta giocando bene, se ciò accade, vai direttamente a Mitre, [email protected] e notificali in modo che possano colpire il CNA e se non ci sono movimenti quindi spero che Mitre possa assegnare il CVE.