Richiedere un CVE per la vulnerabilità non pubblicata nel progetto open-source?

Naviga le tue risposte
0

MITER ha riorganizzato la sua politica di assegnazione l'anno scorso. Hanno introdotto un elenco di prodotti coperti ed esclusi altri prodotti da CVE.

Quest'anno, hanno di nuovo aperto CVE a tutti i software esistenti, ad eccezione del software open source non presente nell'elenco coperto prodotti . Questi sono delegati al DWF. Ma dicono anche che sono CNA per "qualsiasi altro prodotto non elencato in questa pagina".

Il DWF dice che riguardano solo problemi che sono già pubblici. Ciò significa che si dovrebbe prima divulgare un problema senza CVE prima di richiedere un CVE, che sembra andare contro lo scopo dei CVE. Supponevo che lo scopo del DWF fosse principalmente quello di coprire questioni per le quali il ricercatore per qualche motivo non voleva richiedere un CVE da sé? E si può presumere che il processo di assegnazione di CVE a questioni che vengono inviate a mailing list (ciò che MITER chiama "parziale fonte di copertura") viene interrotto con l'istituzione del DWF (quindi non c'è pericolo di doppia assegnazione)?

Devo richiedere un CVE tramite MITER per problemi relativi a software open source che non sono ancora pubblici e non inclusi nell'elenco dei prodotti coperti, o dovrei pubblicarli e successivamente richiedere un CVE tramite DWF?

    
posta tim 28.03.2017 - 23:35
fonte

2 risposte

1

Il mio suggerimento è di assicurarmi che il problema sia stato risolto nel progetto, pubblicarlo su Full Disclosure e quindi utilizzare quel post per richiedere il CVE.

    
risposta data 29.03.2017 - 00:07
fonte
0

Il processo migliore ti suggerisco di segnalare una vulnerabilità di un fornitore che non è un membro delle autorità dei numeri CVE (CNA):

Richiedi un CVE per la vulnerabilità che hai riscontrato prima di inviare una notifica al fornitore senza inviare un URL che mostri i dettagli della vulnerabilità stessa.

Quando MITER CVE riceve una richiesta CVE e non ha un riferimento URL, registra l'ID CVE come "RISERVATO".

** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

Quindi comunichi al fornitore / progetto open source la vulnerabilità e, dopo il riconoscimento e la patch del software, avrai l'URL di consulenza sulla sicurezza del fornitore.

Quindi, a sua volta, avrai abbastanza informazioni senza essere così tecnico da impegnare così tanti utenti. Quindi basta notificare l'URL all'ID CVE corrispondente e la vulnerabilità diventa pubblica.

A volte la vulnerabilità potrebbe non essere pubblicata da MITER CVE (cve.mitre.org) alla stessa velocità di altre fonti, in genere membri di CNA, ad es. IBM X-Force.

What is CNA?

CVE Numbering Authorities (CNAs) are organizations from around the world that are authorized to assign CVE IDs to vulnerabilities affecting products within their distinct, agreed-upon scope, for inclusion in first-time public announcements of new vulnerabilities. These CVE IDs are provided to researchers, vulnerability disclosers, and information technology vendors.

Participation in this program is voluntary, and the benefits of participation include the ability to publicly disclose a vulnerability with an already assigned CVE ID, the ability to control the disclosure of vulnerability information without pre-publishing, and notification of vulnerabilities in products within a CNA's scope by researchers who request a CVE ID from them.

Riferimento: cve.mitre.org/cve/cna.html

    
risposta data 11.08.2018 - 01:42
fonte

Leggi altre domande sui tag

Visualizzazione degli utenti locali su una workstation quando sono SYSTEM su Forest PDC C'è qualche possibilità per me nel campo della sicurezza delle informazioni? [chiuso]