¿Existe un proceso documentado para la publicación de información oficial para las vulnerabilidades de embargo en el sistema de vulnerabilidades y exposiciones comunes (CVE)?
Si existe un proceso de este tipo, ¿cómo aborda situaciones como la reciente vulnerabilidad de la tabla de páginas del núcleo de Intel, donde la vulnerabilidad ya se ha divulgado públicamente a través de canales no oficiales, y ya se ha documentado una vulnerabilidad de prueba de concepto disponible públicamente? ?
He estado tratando de estimar el impacto de la reciente vulnerabilidad de vulnerabilidad de la tabla de páginas de Kernel de Intel mencionada en esta pregunta . Como se mencionó en esa publicación, esta vulnerabilidad tiene numerosas referencias en social media cuentas que se remontan al 4 de noviembre , forums , muchas noticias sites , y el Los parches de Linux (4 de diciembre) incluso han sido benchmarked . Incluso hay un artículo de Wikipedia , así como documentación pública que se remonta hasta 6 meses. La falta de información oficial sobre esta vulnerabilidad y el intenso escrutinio público de la falla de hardware y la solución de software pendiente han llevado a que se publique una gran cantidad de información conflictiva.
Con toda esta información no oficial disponible, aún no he encontrado un único identificador asociado con la vulnerabilidad que proporciona una referencia común para los parches y las discusiones. Sabemos que hay un número CVE, pero como está bloqueado, ni el número ni ninguna documentación oficial se han divulgado al público. Amazon lanzará actualizaciones de Linux que contengan parches para esta vulnerabilidad tan pronto como el 5 de enero y se espere una similar de Microsoft para el 9 de enero, sin embargo, no hay información oficial disponible, lo que hará que muchas organizaciones implementen estas actualizaciones (incluyendo el mío) se basa solo en información muy conflictiva con respecto a la causa, a la vez que incurre en un impacto estimado del 30% en varias capas de muchas pilas de software.
Entiendo la idea detrás del embargo: divulgar demasiada información antes de que haya una solución o solución disponible dará una ventaja a los individuos u organizaciones que escriben proezas. Sin embargo, la cantidad de información no oficial ya disponible parece haber convertido el embargo en un punto discutible, considerando que ya hay vulnerabilidades de prueba de concepto documentado .