¿Existe un proceso documentado para el lanzamiento de información oficial para las vulnerabilidades embargadas en el sistema CVE?

8

¿Existe un proceso documentado para la publicación de información oficial para las vulnerabilidades de embargo en el sistema de vulnerabilidades y exposiciones comunes (CVE)?

Si existe un proceso de este tipo, ¿cómo aborda situaciones como la reciente vulnerabilidad de la tabla de páginas del núcleo de Intel, donde la vulnerabilidad ya se ha divulgado públicamente a través de canales no oficiales, y ya se ha documentado una vulnerabilidad de prueba de concepto disponible públicamente? ?

He estado tratando de estimar el impacto de la reciente vulnerabilidad de vulnerabilidad de la tabla de páginas de Kernel de Intel mencionada en esta pregunta . Como se mencionó en esa publicación, esta vulnerabilidad tiene numerosas referencias en social media cuentas que se remontan al 4 de noviembre , forums , muchas noticias sites , y el Los parches de Linux (4 de diciembre) incluso han sido benchmarked . Incluso hay un artículo de Wikipedia , así como documentación pública que se remonta hasta 6 meses. La falta de información oficial sobre esta vulnerabilidad y el intenso escrutinio público de la falla de hardware y la solución de software pendiente han llevado a que se publique una gran cantidad de información conflictiva.

Con toda esta información no oficial disponible, aún no he encontrado un único identificador asociado con la vulnerabilidad que proporciona una referencia común para los parches y las discusiones. Sabemos que hay un número CVE, pero como está bloqueado, ni el número ni ninguna documentación oficial se han divulgado al público. Amazon lanzará actualizaciones de Linux que contengan parches para esta vulnerabilidad tan pronto como el 5 de enero y se espere una similar de Microsoft para el 9 de enero, sin embargo, no hay información oficial disponible, lo que hará que muchas organizaciones implementen estas actualizaciones (incluyendo el mío) se basa solo en información muy conflictiva con respecto a la causa, a la vez que incurre en un impacto estimado del 30% en varias capas de muchas pilas de software.

Entiendo la idea detrás del embargo: divulgar demasiada información antes de que haya una solución o solución disponible dará una ventaja a los individuos u organizaciones que escriben proezas. Sin embargo, la cantidad de información no oficial ya disponible parece haber convertido el embargo en un punto discutible, considerando que ya hay vulnerabilidades de prueba de concepto documentado .

    
pregunta vallismortis 03.01.2018 - 19:23
fuente

1 respuesta

2

La (s) divulgación (es) de Google de ayer por la noche (3 de enero) contiene un resumen conciso del fin del embargo, que originalmente se planeó para el 9 de enero, pero se adelantó una semana debido a la cantidad de información pública disponible.

De " Lectura de memoria privilegiada con un canal lateral " :

  

Nosotros [Google] informamos este problema a Intel, AMD y ARM el 2017-06-01.

De " Vulnerabilidad de la CPU de hoy: lo que necesita saber ":

  

Estamos publicando antes de una fecha de divulgación coordinada originalmente de   9 de enero de 2018 debido a los informes públicos existentes y al crecimiento.   especulación en la prensa y la comunidad de investigación de seguridad sobre la   Cuestión, que plantea el riesgo de explotación. El proyecto completo cero   el informe está próximo (actualización: se ha publicado; consulte más arriba).

Los identificadores y las revelaciones de CVE se pusieron a disposición del público tan pronto como finalizó el embargo:

Meltdown Attack

Mitre CVE-2017-5754 y NIST NVD CVE-2017-5754

Ataque de espectro

Mitre CVE-2017-5753 y NIST NVD CVE-2017-5753

Mitre CVE-2017-5715 y NIST NVD CVE-2017-5715

Los identificadores de CVE se hicieron públicos con el fin del embargo, que sirvió como marcadores de posición en las bases de datos de CVE y NVD durante varias horas. A partir del 4 de enero, la divulgación estuvo disponible públicamente a través de esos sitios.

    
respondido por el vallismortis 04.01.2018 - 15:58
fuente

Lea otras preguntas en las etiquetas