¿Qué hacer si un proveedor no asigna un CVE para una vulnerabilidad de reconocimiento?

5

Encontramos una vulnerabilidad de seguridad en un producto generalizado de una gran empresa de TI (la compañía aparece como una CNA aquí: enlace ).

Notificamos a la compañía, reconocieron el problema y van a lanzar un parche para ello.

Pedimos específicamente que se asignara un CVE a la vulnerabilidad que encontramos, pero respondieron dándonos un "identificador de error" interno.

¿Es este un comportamiento "normal"?

¿Cómo podemos obtener un CVE si no asignan uno al error que encontramos?

Gracias

    
pregunta user45614 29.04.2014 - 00:21
fuente

2 respuestas

2

Lo más probable es que les gustaría lanzar un parche antes de hacer un CVE público. Si lanzaran un CVE público antes de parchear, solo se lastimaría a sí mismo, ya que la versión actual estaría abierta para atacar. Una vez que liberen un parche y puedan notificar a sus clientes, entonces esperaría que lanzaran un CVE para que el público en general se ponga al día.

    
respondido por el Jason Higgins 29.04.2014 - 18:15
fuente
0

Obtener un CVE y "liberarlo" no significa que la explotación suceda, también tendrían que publicar detalles sobre la vulnerabilidad. Además, es menos ideal que ir a "comprar CVE" cuando un CNA no está jugando bien, si eso ocurre, vaya directamente a Mitre, [email protected] y notifíquelos para que puedan pinchar el CNA y si no hay movimiento entonces esperemos que Mitre le asigne el CVE.

    
respondido por el Kurt 17.05.2016 - 22:31
fuente

Lea otras preguntas en las etiquetas