Teóricamente: comuníquese con un CNA o una lista de correo
Como han dicho otros, se pondría en contacto con una CNA . Si no puede encontrar uno en la lista de proveedores de software, debe contactar a MITRE directamente.
También puede publicarlo en una lista de correo en lugar de ponerse en contacto con un CNA. MITRE menciona bugtraq, donde solo publicaría su vulnerabilidad (no una solicitud de un CVE), e idealmente obtendría un CVE de MITRE, pero también podría usar oss-security, que se usa principalmente para las solicitudes de CVE (puede ver el tasa de asignaciones de cve-assign @ MITRE, por lo que puede considerar si realmente vale la pena).
Si solicita CVE a través de múltiples métodos, debe mencionar cualquier solicitud previa (exitosa o no) para evitar duplicaciones.
MITRE también describe estas posibilidades en su Solicite un CVE página de información:
Póngase en contacto con una de las Autoridades de numeración CVE reconocidas oficialmente
(CNA) [... o] r, comuníquese con un equipo de respuesta a emergencias como CERT / CC,
etc., publique la información en listas de correo tales como Bugtraq, o
proporcionar la información a un equipo de análisis de vulnerabilidad [...] Si
no pueden obtener un número de identificador CVE a través de los métodos principales
arriba, puede solicitar un número de identificador CVE directamente de CVE
proyecto.
Prácticamente: MITRE está teniendo problemas para asignar CVE
La cuestión es que MITRE está teniendo problemas para asignar CVE debido a un aumento en las vulnerabilidades descubiertas, por lo que requiere un poco de suerte para obtener una de ellas.
Ha habido quejas por un tiempo, y MITRE tiene una nota en su sitio web calificándola de "retraso":
La reciente explosión de dispositivos habilitados para Internet, conocida como Internet
de las cosas, así como la propagación de la funcionalidad basada en software
en sistemas ha dado lugar a un gran aumento en el número de solicitudes CVE que
Han estado recibiendo a diario. No anticipamos esta tasa.
de crecimiento, y, como resultado, no estaban tan preparados para el último aumento repentino
en solicitudes en los últimos 12 meses como habíamos esperado. El resultado tiene
sido parte de la demora en las asignaciones de CVE que la seguridad del software
La comunidad ha sido testigo recientemente. Reconocemos el inconveniente que
ha resultado, y estamos trabajando duro para encontrar una solución.
Mientras MITRE solo habla sobre un retraso, otros informan que no están recibiendo ninguna respuesta, consulte aquí , aquí o here (que también es mi experiencia y la actividad en listas de correo como oss -seguridad indicará).