¿Está solicitando un CVE para una vulnerabilidad no publicada en un proyecto de código abierto?

0

MITRE reorganizó su política de asignación el año pasado. Presentaron una lista de productos cubiertos y excluyeron a otros Productos de CVEs.

Este año, nuevamente abrieron CVE a todo el software existente, excepto el software de código abierto que no se encuentra en una lista de cubierto productos . Los que están delegados a la DWF. Pero también dicen que son el CNA para "cualquier otro producto que no esté incluido en esta página".

El DWF dice que solo cubren temas que ya son públicos. Esto significa que primero habría que revelar un problema sin CVE antes de solicitar un CVE, lo que parece ir en contra del propósito de los CVE. Supongo que el propósito del DWF es principalmente cubrir temas por los cuales el investigador, por alguna razón, no quiso solicitar un CVE por sí mismo. ¿Y se puede suponer que el proceso de asignación de CVE a los problemas que se envían a las listas de correo (lo que MITRE denominó "Fuentes de cobertura parcial") se suspende con el establecimiento del DWF (por lo que no existe peligro de doble asignación)? / p>

¿Debo solicitar un CVE a través de MITRE para problemas en software de código abierto que aún no son públicos y no están en la lista de productos cubiertos, o debo publicarlos y luego solicitar un CVE a través de DWF?

    
pregunta tim 28.03.2017 - 23:35
fuente

2 respuestas

1

Mi sugerencia es asegurarse de que el problema se solucione en el proyecto, publicarlo en la Divulgación completa y luego usar esa publicación para solicitar el CVE.

    
respondido por el Swashbuckler 29.03.2017 - 00:07
fuente
0

El mejor proceso, le aconsejo que informe sobre una vulnerabilidad de un proveedor que no es miembro de las Autoridades de Número CVE (CNA):

Solicite un CVE para la vulnerabilidad que encontró antes de notificar al proveedor sin enviar una URL que muestre el detalle de la vulnerabilidad en sí.

Cuando el CVE de MITER recibe una solicitud de CVE y no tiene una referencia de URL, registra el ID de CVE como "RESERVADO".

  

** RESERVADO ** Este candidato ha sido reservado por una organización o persona que lo usará cuando anuncie un nuevo problema de seguridad. Cuando el candidato haya sido publicado, se proporcionarán los detalles de este candidato.

Luego, notifica al proveedor / proyecto de código abierto acerca de la vulnerabilidad y, una vez que haya recibido el reconocimiento y parchea el software, tendrá la propia URL de advertencia de seguridad del proveedor.

Entonces, a su vez, tendrá suficiente información sin ser tan técnico como para comprometer a tantos usuarios. Luego simplemente notifique la URL a la ID de CVE correspondiente y la vulnerabilidad se hará pública.

A veces, la vulnerabilidad puede no ser publicada por MITRE CVE (cve.mitre.org) tan rápido como otras fuentes, generalmente miembros de la CNA, por ejemplo. IBM X-Force.

  

¿Qué es CNA?

     

Las Autoridades Numéricas de CVE (CNA) son organizaciones de todo el mundo que están autorizadas a asignar identificaciones de CVE a vulnerabilidades que afectan a productos dentro de su alcance distinto y acordado, para su inclusión en anuncios públicos por primera vez de nuevas vulnerabilidades. Estos ID de CVE se proporcionan a los investigadores, a los reveladores de vulnerabilidades y a los proveedores de tecnología de la información.

     

La participación en este programa es voluntaria, y los beneficios de la participación incluyen la capacidad de divulgar públicamente una vulnerabilidad con un ID de CVE ya asignado, la capacidad de controlar la divulgación de información sobre vulnerabilidades sin publicación previa y la notificación de vulnerabilidades en los productos. dentro del alcance de un CNA por investigadores que solicitan una ID de CVE de ellos.

Referencia: cve.mitre.org/cve/cna.html

    
respondido por el slayer owner 11.08.2018 - 01:42
fuente

Lea otras preguntas en las etiquetas