año de ID de CVE versus retraso en la divulgación

1

Un identificador de CVE en uso no es necesariamente público en un momento dado. Se publica cuando o después de la publicación de la vulnerabilidad.

¿Esto significa que el "año" incluido en el ID de CVE puede ser frecuentemente mayor que el año del primer informe público de la vulnerabilidad (y, por lo tanto, cuando el ID de CVE esté disponible para la búsqueda de CVE en MITRE)? ¿O existe un mecanismo para correlacionar el año con el año de divulgación pública dentro de algunos límites relacionados con la divulgación pública?

NO me estoy refiriendo a ejemplos como CVE-2010-5298 que se asignó o tal vez acaba de publicarse en 2014, porque la vulnerabilidad en sí misma fue, en cierto sentido, pública desde 2010, solo que no tiene un ID de CVE.

Me refiero a un gran error hipotético actualmente desconocido que llenará los titulares a lo largo de 2017, pero que se etiquetará como CVE-2010-something debido a un proveedor que se ha mantenido en secreto durante siete años.

    
pregunta Jirka Hanika 03.12.2016 - 23:20
fuente

1 respuesta

2
  

¿Esto significa que el "año" incluido en el ID de CVE puede ser frecuentemente mayor que el año del primer informe público de la vulnerabilidad (y, por lo tanto, cuando el ID de CVE esté disponible para la búsqueda de CVE en MITRE)?

Puede buscar CVEs tan pronto como estén asignados. Si aún no se han publicado detalles, la entrada reflejará que:

  

** RESERVADO ** Este candidato ha sido reservado por una organización o persona que lo usará cuando anuncie un nuevo problema de seguridad. Cuando el candidato haya sido publicado, se proporcionarán los detalles de este candidato.

  

Me refiero a un gran error hipotético actualmente desconocido que llenará los titulares a lo largo de 2017, pero que se llamará CVE-2010, algo que se debe a un proveedor que se ha mantenido en secreto durante siete años.

Sí, esto puede suceder. La entrada a un CVE reservado indica:

  

Exención de responsabilidad: la fecha de creación de la entrada puede reflejar cuándo se asignó o reservó el CVE-ID, y no indica necesariamente cuándo se descubrió esta vulnerabilidad, se compartió con el proveedor afectado, se reveló públicamente o se actualizó en CVE.

La fecha de entrada es en lo que se basa una ID de CVE. El mismo problema no recibirá múltiples CVE (a menos que se haya cometido un error) ya que causaría confusión.

Aunque en la práctica, si un proveedor desea participar, no solicitará un CVE. Si un investigador solicitó un CVE, es probable que publique algunos detalles si el proveedor no muestra esfuerzo para solucionar el problema.

    
respondido por el tim 04.12.2016 - 00:15
fuente

Lea otras preguntas en las etiquetas