Cuando encuentra una vulnerabilidad, ¿se pone en contacto con los asignadores de CVE antes de ponerse en contacto con el proveedor o después de que el proveedor haya solucionado el problema?
PS: no no enlace a ¿Cómo se asignan y administran los identificadores CVE? , ya que no responde a mi pregunta.
Puede solicitar un número de CVE sin que se publiquen los detalles.
La línea de tiempo que he seguido anteriormente es:
Considero que los chicos de CVE son razonablemente confiables, y revelaré detalles de alto nivel de la vulnerabilidad a ellos antes de publicar. Necesitan esto para evitar duplicados, pero puede pedirles que mantengan los detalles en privado. Si alguien busca el CVE en este punto, simplemente dice "reservado". Cuando publico, copio los chicos de CVE y luego actualizan la entrada de CVE para incluir la información.
Es necesario obtener el CVE antes de publicar. Es bastante esencial incluir un número de CVE en su aviso.
Por lo que yo sé, primero contacta al proveedor. Hay numerosas solicitudes de CVE en la lista de correo de oss-security que apuntan a rastreadores de errores. Por supuesto, si un proveedor ignora el problema, es una historia diferente ...
Sospecho que su pregunta tiene más que ver con si es ético divulgar sin avisar a un proveedor.
Si solicita una ID de CVE y se le otorga una, la vulnerabilidad se convertirá en conocimiento público. Se recomienda que primero se ponga en contacto con el desarrollador del software y espere 30 días para obtener su respuesta. Dependiendo de la gravedad de la vulnerabilidad, es posible que le soliciten que no dé a conocer la vulnerabilidad al público hasta que haya tenido tiempo de parcharse.
En general, el curso que tomes es tu decisión. Pero trabajar con el proveedor se asegurará de que no sea responsable por los daños que pueda causar la vulnerabilidad.
Si el proveedor en cuestión es un CNA (Autoridad de numeración CVE), cuando le informe de una vulnerabilidad, debe asignarle un CVE # (este es el procedimiento operativo estándar en Red Hat). Si no le asignan un CVE, le aconsejaría ir a Mitre a [email protected].
Si el proveedor no es un CNA, puede solicitar un CVE de Mitre a [email protected]. Personalmente, prefiero que la vulnerabilidad obtenga un CVE más temprano que tarde (facilita el seguimiento y la coordinación).
Lea otras preguntas en las etiquetas cve