¿Proceso de envío de CVE?

3

Tengo dos preguntas sobre el proceso para solicitar y obtener un ID de CVE para una vulnerabilidad.

  1. ¿Debo comunicarme con el proveedor primero y esperar para ver si reconocen la vulnerabilidad y lanzar un parche y luego enviar un ID de CVE o debo enviar un ID de CVE ahora?

  2. En el formulario de envío de CVE

Dice lo siguiente:

  

IMPORTANTE: una vez que se haya asignado un ID de CVE a su vulnerabilidad, no se publicará en la Lista de CVE hasta que haya enviado una URL que señale información pública sobre la vulnerabilidad. Sin una referencia pública, el ID de CVE se mostrará como "RESERVADO" en la Lista de CVE.

Mi pregunta es sobre "una URL que apunta a información pública". ¿Esta información pública tiene que venir del Proveedor o puede ser que esta información pública sea algo así como una URL que apunta a una página de db de exploit?

    
pregunta user0809452345 26.10.2017 - 22:27
fuente

2 respuestas

5

Cuando encuentro una vulnerabilidad para un producto que no es manejado por un CNA ( Autor del número CVE ), Solicito un CVE antes de notificar al proveedor.

Mi razonamiento para hacerlo de esta manera, es que ahora puedo pedirle al proveedor que haga referencia al CVE en la nota de seguridad / aviso de seguridad. Y a su vez, el CVE ahora puede hacer una referencia directa a la nota de lanzamiento / aviso de seguridad de los proveedores.

Para la segunda pregunta, no creo que la confirmación deba provenir del proveedor en cuestión. Si ese fuera el caso, uno no podría emitir un CVE para productos que ya no se mantienen.

Recuerde, el propósito de un CVE es identificar de manera única una vulnerabilidad específica. Imagine cómo dos escáneres de vulnerabilidad diferentes identificarían la misma vulnerabilidad si no hubiera una referencia común para ella. Le dejaría incierto si se ve afectado por una o dos vulnerabilidades.

Por lo tanto, cualquier material publicado que describa o confirme una vulnerabilidad podría ser utilizado, siempre que sea capaz de proporcionar suficientes detalles para identificarlo de manera única. En contraste, si un proveedor reconoce una vulnerabilidad, es indudable que existe una vulnerabilidad, sin tener que proporcionar detalles complejos que podrían poner a otros en riesgo inmediato.

    
respondido por el Dog eat cat world 26.10.2017 - 23:37
fuente
1
  1. Por lo general, sería útil ponerse en contacto con el proveedor, especialmente para confirmarlo y evaluarlo desde el punto de vista de los proveedores.

    Sin embargo, si desea asegurarse de que se le acredite por encontrar la vulnerabilidad y no del proveedor, debe enviar y luego hacer una divulgación responsable al proveedor.

  2. Puede ser cualquier URL, no es necesario que sea del proveedor; ni siquiera tiene que ser una divulgación responsable, puede vincular a la descripción de un repositorio github con un exploit, por ejemplo.

    Sin embargo, por lo general, es el boletín de proveedores después de que se lanza un parche o una publicación de blog del buscador.

respondido por el Tobi Nary 26.10.2017 - 23:01
fuente

Lea otras preguntas en las etiquetas