processo di invio CVE?

3

Ho due domande relative alla procedura per richiedere e ottenere un ID CVE per una vulnerabilità.

  1. Devo contattare prima il fornitore e aspettare di vedere se riconosce la vulnerabilità e rilasciare una patch e poi inviare un ID CVE o devo semplicemente presentare un ID CVE adesso?

  2. nel modulo di invio CVE

Si dice quanto segue:

IMPORTANT: Once a CVE ID is assigned to your vulnerability, it will not be published in the CVE List until you have submitted a URL pointing to public information about the vulnerability. Without a public reference, the CVE ID will display as "RESERVED" in the CVE List.

La mia domanda riguarda "un URL che punta alle informazioni pubbliche". Queste informazioni pubbliche devono provenire dal venditore o queste informazioni pubbliche possono essere qualcosa di simile a un punto URL per una pagina di db exploit?

    
posta user0809452345 26.10.2017 - 22:27
fonte

2 risposte

5

Quando trovo una vulnerabilità per un prodotto che non è gestito da un CNA ( CVE Number Author ), Applico per un CVE prima di informare il venditore.

Il mio ragionamento per farlo in questo modo, è che ora posso chiedere al venditore di fare riferimento al CVE nella nota di sicurezza / avviso di sicurezza. E a sua volta, il CVE può ora fare un riferimento diretto alla nota di advisory / note sulla sicurezza del fornitore.

Per la seconda domanda, non credo che la conferma debba arrivare dal venditore in questione. In tal caso, non si sarebbe in grado di emettere un CVE per prodotti che non sono più mantenuti.

Ricorda che lo scopo di un CVE è identificare in modo univoco una vulnerabilità specifica. Immaginate come due diversi scanner di vulnerabilità identificheranno la stessa vulnerabilità se non ci fosse un riferimento comune per esso. Ti lascerebbe incerto se sei affetto da una o due vulnerabilità.

Quindi qualsiasi materiale pubblicato che descriva o confermi una vulnerabilità potrebbe essere utilizzato, a condizione che sia in grado di fornire dettagli sufficienti per identificarlo in modo univoco. Al contrario, se un fornitore riconosce una vulnerabilità, è fuori dubbio che la vulnerabilità esiste, senza fornire dettagli complessi che potrebbero mettere gli altri in pericolo immediato.

    
risposta data 26.10.2017 - 23:37
fonte
1
  1. In genere contattare il fornitore potrebbe essere utile, in particolare per confermarlo e valutarlo dal punto di vista dei fornitori.

    Tuttavia, se si desidera assicurarsi di essere accreditati per aver individuato la vulnerabilità e non il fornitore, è necessario inviare e quindi fare una divulgazione responsabile al fornitore.

  2. Questo può essere qualsiasi URL, non deve essere dal fornitore; per esempio, non è nemmeno necessario essere una divulgazione responsabile, è possibile collegare alla descrizione di un repository github con un exploit.

    Di solito, è il bollettino dei venditori dopo che una patch è stata rilasciata o un post sul blog dal finder.

risposta data 26.10.2017 - 23:01
fonte

Leggi altre domande sui tag