¿Cómo puedo informar una nueva vulnerabilidad a cve.mitre.org para que le asignen una ID de CVE?

8

Esta es una pregunta hipotética. Las respuestas me ayudarían a aprender cómo CVE emite identificaciones de CVE a vulnerabilidades.

Supongamos que he seguido los principios de la divulgación responsable, informé al proveedor de la vulnerabilidad que encontré y el proveedor no la ha solucionado, incluso después de varios meses.

¿Cómo puedo reportar esta vulnerabilidad a cve.mitre.org para que publiquen los detalles de la vulnerabilidad después de asignarle un CVE-ID?

He visto a investigadores de seguridad de aficionados independientes que publican vulnerabilidades en la lista de correo de Bugtraq y Full Disclosure y esas vulnerabilidades se incluyen automáticamente con los CVE-ID en cve.mitre.org. Quiero saber más sobre cómo funciona esto. No creo que cada uno de ellos envíe un correo electrónico a un CNA para solicitar un número de identificación de CVD.

    
pregunta Lone Learner 20.04.2016 - 18:59
fuente

3 respuestas

4

[Nota: consulte la respuesta de @tim , que es una respuesta más completa que mi google rápido.]

MITRE tiene documentación oficial que responde a su pregunta directamente en cve.mitre.org , específicamente eche un vistazo a enlace que proporciona una descripción detallada de los identificadores CVE, cómo se crean y cómo solicitar uno.

La página de inicio enlace también tiene el siguiente derecho en la columna principal:

  

Autoridades de numeración CVE (CNA)

     

CNAs son el método principal para solicitar un CVE-ID number .

     

Las CNA son importantes proveedores de sistemas operativos, investigadores de seguridad y organizaciones de investigación que asignan CVE-ID a problemas recientemente descubiertos sin involucrar directamente a MITRE en los detalles de las vulnerabilidades específicas, e incluyen los números de CVE-ID en la primera divulgación pública de vulnerabilidades.

     

Las siguientes 22 organizaciones participan actualmente como CNA: Adobe; Manzana; Attachmate; Mora; CERT / CC; Cisco; Debian GNU / Linux; EMC; FreeBSD; Google; HP; IBM; ICS-CERT; JPCERT / CC; Microsoft; MITRE (CNA primario); Mozilla; Oráculo; Sombrero rojo; Gráficos de silicona; Symantec; y Ubuntu Linux.

     

Un mensaje sobre los tiempos de respuesta para solicitar los números de CVE-ID de MITRE se publica arriba. Para obtener más información sobre cómo solicitar números de CVE-ID a los CNA, visite la página Autoridades de numeración de CVE .

Si no está satisfecho con la respuesta oficial, especifique qué sabe y qué falta en su pregunta.

    
respondido por el Mike Ounsworth 20.04.2016 - 19:03
fuente
2

Teóricamente: comuníquese con un CNA o una lista de correo

Como han dicho otros, se pondría en contacto con una CNA . Si no puede encontrar uno en la lista de proveedores de software, debe contactar a MITRE directamente.

También puede publicarlo en una lista de correo en lugar de ponerse en contacto con un CNA. MITRE menciona bugtraq, donde solo publicaría su vulnerabilidad (no una solicitud de un CVE), e idealmente obtendría un CVE de MITRE, pero también podría usar oss-security, que se usa principalmente para las solicitudes de CVE (puede ver el tasa de asignaciones de cve-assign @ MITRE, por lo que puede considerar si realmente vale la pena).

Si solicita CVE a través de múltiples métodos, debe mencionar cualquier solicitud previa (exitosa o no) para evitar duplicaciones.

MITRE también describe estas posibilidades en su Solicite un CVE página de información:

  

Póngase en contacto con una de las Autoridades de numeración CVE reconocidas oficialmente   (CNA) [... o] r, comuníquese con un equipo de respuesta a emergencias como CERT / CC,   etc., publique la información en listas de correo tales como Bugtraq, o   proporcionar la información a un equipo de análisis de vulnerabilidad [...] Si   no pueden obtener un número de identificador CVE a través de los métodos principales   arriba, puede solicitar un número de identificador CVE directamente de CVE   proyecto.

Prácticamente: MITRE está teniendo problemas para asignar CVE

La cuestión es que MITRE está teniendo problemas para asignar CVE debido a un aumento en las vulnerabilidades descubiertas, por lo que requiere un poco de suerte para obtener una de ellas.

Ha habido quejas por un tiempo, y MITRE tiene una nota en su sitio web calificándola de "retraso":

  

La reciente explosión de dispositivos habilitados para Internet, conocida como Internet   de las cosas, así como la propagación de la funcionalidad basada en software   en sistemas ha dado lugar a un gran aumento en el número de solicitudes CVE que   Han estado recibiendo a diario. No anticipamos esta tasa.   de crecimiento, y, como resultado, no estaban tan preparados para el último aumento repentino   en solicitudes en los últimos 12 meses como habíamos esperado. El resultado tiene   sido parte de la demora en las asignaciones de CVE que la seguridad del software   La comunidad ha sido testigo recientemente. Reconocemos el inconveniente que   ha resultado, y estamos trabajando duro para encontrar una solución.

Mientras MITRE solo habla sobre un retraso, otros informan que no están recibiendo ninguna respuesta, consulte aquí , aquí o here (que también es mi experiencia y la actividad en listas de correo como oss -seguridad indicará).

    
respondido por el tim 21.04.2016 - 08:44
fuente
1

El método EXACTO para obtener un CVE de Mitre es enviarlo por correo electrónico a cve-assign @ mitre.org. Cuando los envíe por correo electrónico, deberá ser específico acerca de por qué está solicitando un CVE, y tendrá que proporcionarles la esencia de lo que encontró. Por ejemplo:

Cross Domain Paradigm Shift (issue)
Paradigm Vendor (vendor)
Versions (version of software affected)
Synopsis (proof of concept helps, e.g., debugging info, URL if web based etc)
Any vendor contacts you have made (email, fax, telephone, etc)

El SOLO HORA que pasaría por un CNA es si Mitre no responde.

    
respondido por el munkeyoto 20.04.2016 - 19:57
fuente

Lea otras preguntas en las etiquetas