Recientemente informé sobre una vulnerabilidad de seguridad y fue parcheada. El parche (y el problema asociado) están abiertos al público en un repositorio de Github (también conocido como público). Me puse en contacto con [email protected] para obtener un identificador CVE emitido para la vulnerabilidad. Me han emitido un identificador de CVE.
¿Debo hacer algo más (por ejemplo, proporcionar el código de prueba de concepto, etc.) o ya terminé?
Dado que ha hecho referencia a Github, asumiré que está relacionado con algún tipo de Como proyecto de código abierto, una nota a oss-sec es una buena idea. Esto lo llamará la atención de la mayoría de los distribuidores de nivel superior.
No es necesario que se suscriba para publicar en oss-sec, pero debe observar cuidadosamente las pautas de etiqueta / contenido en el enlace de arriba. Un huracán en los archivos debería apuntarle en la dirección correcta, esta es una publicación reciente (del mantenedor de la lista) del formulario de los cuales usted podría copiar útilmente: enlace
La Base de datos de vulnerabilidad nacional está manejada por los datos del CVE y debe Aunque se actualizarán en un futuro próximo, no sugieren cuánto tiempo podría llevar. Las Preguntas frecuentes sobre NVD también tienen algunos detalles útiles, incluidos los procedimientos de contacto para las entradas faltantes o incorrectas. Yo sugeriría darle al menos dos semanas (según la evidencia empírica) después de que publique en oss-sec antes de hacer un seguimiento, sin embargo, la gente de CVE tiende a estar ocupada.
Lea otras preguntas en las etiquetas disclosure cve