Quando trovi una vulnerabilità, contatti gli assegnatari di CVE prima di contattare il fornitore o dopo che il fornitore ha risolto il problema?
PS: fai not link a Come vengono assegnati e gestiti gli identificativi CVE? , poiché non risponde alla mia domanda.
Puoi richiedere un numero CVE senza che i dettagli siano pubblicati.
La sequenza temporale che ho seguito in precedenza è:
Considero i ragazzi del CVE ragionevolmente affidabili, e fornirò loro dettagli di alto livello sulla loro vulnerabilità prima della pubblicazione. Ne hanno bisogno per evitare duplicati, ma puoi dire loro di mantenere i dettagli privati. Se qualcuno cerca il CVE a questo punto, dice semplicemente "riservato". Quando pubblico, copio i ragazzi CVE e loro aggiornano la voce CVE per includere le informazioni.
Devi avere il CVE prima di pubblicare: è essenziale includere un numero CVE nel tuo advisory.
Per quanto ne so, per prima cosa contatta il venditore. Ci sono numerose richieste CVE sulla mailing list di oss-security che punta ai bug tracker. Naturalmente se un venditore ignora il problema è una storia diversa ...
Sospetto che la tua domanda abbia più a che fare con l'etica di rivelare senza preavviso un venditore?
Se si richiede un ID CVE e ne viene concesso uno, la vulnerabilità diventerà di dominio pubblico. Si consiglia di contattare prima lo sviluppatore del software e attendere 30 giorni per la risposta. A seconda della gravità della vulnerabilità, potrebbero chiedere di non rendere nota la vulnerabilità al pubblico fino a quando non hanno avuto il tempo di applicare la patch.
Nel complesso, il corso che fai è una tua decisione. Tuttavia, collaborare con il fornitore garantisce che non si possa essere ritenuti responsabili dei danni che potrebbero derivare dalla vulnerabilità.
Se il fornitore in questione è un CNA (CVE Numbering Authority), quando si segnala una vulnerabilità a loro dovrebbero immediatamente assegnargli un CVE # (questa è la procedura operativa standard su Red Hat). Se non riescono a assegnargli un CVE, consiglierei di andare su Mitre all'indirizzo [email protected].
Se il venditore non è un CNA, puoi richiedere un CVE da Mitre all'indirizzo [email protected]. Personalmente preferisco che la vulnerabilità ottenga un CVE prima piuttosto che dopo (facilita il tracciamento e il coordinamento).
Leggi altre domande sui tag cve