ID CVE anno contro ritardo di divulgazione

Naviga le tue risposte
1

Un identificativo CVE in uso non è necessariamente pubblico in un dato momento. Viene pubblicato quando o dopo che la vulnerabilità è stata pubblicata.

Ciò significa che l'"anno" incluso nell'ID CVE può essere spesso più vecchio di anni rispetto all'anno del primo rapporto pubblico della vulnerabilità (e quindi a quando l'ID CVE diventa disponibile per la ricerca CVE su MITER)? O esiste un meccanismo per correlare l'anno con l'anno della divulgazione pubblica entro alcuni limiti relativi alla divulgazione pubblica?

NON mi riferisco a esempi come CVE-2010-5298 che è stato assegnato o forse pubblicato solo nel 2014, perché la vulnerabilità stessa era in qualche modo pubblica dal 2010, solo senza alcun ID CVE.

Mi riferisco a un grosso bug ipotetico attualmente sconosciuto che riempirà i titoli per tutto il 2017 ma sarà etichettato come CVE-2010-something a causa di un venditore segretamente e consapevolmente seduto su di esso per 7 anni.

    
posta Jirka Hanika 03.12.2016 - 23:20
fonte

1 risposta

2

Does this mean that the "year" included in the CVE ID can frequently be years older relative to the year of the first public report of the vulnerability (and therefore to when the CVE ID becomes available for CVE search at MITRE)?

È possibile cercare CVE non appena vengono assegnati. Se nessun dettaglio è stato ancora pubblicato, la voce rifletterà quella:

** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

I am refering to a big hypothetical currently unknown bug that will be filling the headlines throughout 2017 but be labelled CVE-2010-something due to a vendor secretly and knowingly sitting on it for 7 years.

Sì, può succedere. La voce di un CVE riservato indica:

Disclaimer: The entry creation date may reflect when the CVE-ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.

La data di ingresso è ciò su cui si basa un ID CVE. Lo stesso problema non riceverà più CVE (a meno che non sia stato commesso un errore) poiché potrebbe causare confusione.

Sebbene in pratica, se un venditore vuole sedersi su di esso, non chiederanno un CVE. Se un ricercatore ha richiesto un CVE, probabilmente pubblicherà alcuni dettagli se il venditore non mostra uno sforzo per risolvere il problema.

    
risposta data 04.12.2016 - 00:15
fonte

Leggi altre domande sui tag

Soluzione agli errori crittografici del punto finale? Come posso impostare una connessione VPN in Windows 10?