¿Puede enviar un CVE para una plataforma de código cerrado no mencionada?

3

Me di cuenta de que hay una lista de plataformas / proveedores para las que se puede solicitar un CVE.

¿Qué sucede si encuentro un CVE para una plataforma propietaria (que está disponible comercialmente), hay una manera de asignarle un CVE?

    
pregunta pzirkind 28.03.2017 - 22:15
fuente

2 respuestas

2

Los diferentes proveedores requieren diferentes pasos a seguir para obtener un ID de CVE asignado para las vulnerabilidades.

Si marca la página de solicitud de ID de CVE de MITER aquí , puede seguir las instrucciones para solicitar una ID después de localizando la autoridad de numeración CVE correcta.

Si el proveedor no se menciona específicamente en ninguna de las tablas y un CNA relevante no se encuentra en la lista, entonces debe comunicarse directamente con MITRE para solicitar una ID de CVE por completando el formulario aquí .

    
respondido por el Ross Smith 28.03.2017 - 22:53
fuente
1

Creo que lo principal aquí es asegurarse de seguir la Divulgación responsable:

De wikipedia :

  

La divulgación responsable es un término de seguridad informática que describe un modelo de divulgación de vulnerabilidad. Es como una divulgación completa, con la adición de que todas las partes interesadas acuerdan permitir un período de tiempo para que la vulnerabilidad sea reparada antes de publicar los detalles.

Si solo va y publica los detalles de la vulnerabilidad sin darle al vendedor el tiempo suficiente para poner un parche, en realidad estará haciendo más daño que bien porque permitirá a los atacantes piratear sistemas que de otra forma serían seguros.

Si esta es la primera vez que revela una vulnerabilidad y todo parece un poco abrumador, entonces, como dice Ross Smith, la organización MITRE que ejecuta la base de datos CVE puede actuar como mediadora entre usted y el proveedor.

    
respondido por el Mike Ounsworth 28.03.2017 - 23:04
fuente

Lea otras preguntas en las etiquetas