¿Es el próximo paso correcto preguntar y obtener un número de identificación de CVE para cada vulnerabilidad y luego publicar mi documento con un enlace a esas CVE?
Como cortesía, le informaría al proveedor que planea publicar. Es posible que deseen enviar primero avisos privados a sus clientes para darles tiempo para actualizar. Normalmente, mencionará esto cuando se ponga en contacto por primera vez con el proveedor, pero si no lo hizo, mejor tarde que nunca.
Si puede obtener un CVE a través del proceso descrito a continuación, entonces sí, vincularía cada vulnerabilidad a su CVE. También es posible que desee publicar su informe en una lista de correo.
¿Se necesita un CVE?
¿Puedo publicar este documento o también necesito obtener un número de CV?
No necesita un CVE para divulgar, pero se recomienda, si puede obtener uno (su vulnerabilidad puede no ser elegible para un CVE, por ejemplo, si está en un software de código cerrado que no está incluido en la lista de MITRE). o es posible que MITRE no pueda asignarle un CVE de manera de manera oportuna ).
La idea detrás de las CVE es tener una forma centralizada de identificar vulnerabilidades de seguridad, lo que facilita la distinción entre diferentes problemas en diferentes herramientas o bases de datos de vulnerabilidad.
Entonces, si puede, sería mejor adquirir un CVE antes de publicar, para que otros puedan identificar fácilmente su vulnerabilidad y evitar asignaciones duplicadas.
Cómo obtener un CVE (en 2016+)
En agosto de 2016, MITRE cambió su proceso de solicitud de CVE basado en correo electrónico a un proceso basado en formulario web. En el proceso, también cambiaron las reglas sobre qué vulnerabilidades pueden solicitarles CVE directamente.
Según tengo entendido, basado en este documento , Funciona así:
- si el producto afectado se asigna a una CNA , se debe solicitar un CVE a esa CNA al mismo Tiempo en que se informa la vulnerabilidad.
- si no, puede comunicarse con CERT / CC (supongo que antes de divulgar), o con una lista de correo (mientras divulga).
- si el producto afectado está en una lista aparentemente arbitraria de software , se debe solicitar el CVE después de que informó al proveedor, pero antes publicaba la vulnerabilidad. Esta solicitud debe realizarse a través del formulario web de MITER CVE .
- si el producto afectado no está en la lista, y es de código abierto, entonces se debe solicitar el CVE después de que se publicó, a través de este documento google docs form (si se divulga a través de una lista de correo, me aseguraré de incluir un enlace a la caja de correo)
Para su caso, el punto 1 no parece ser el caso. Puede enviar su divulgación a una lista de correo (punto 2), pero no esperaría obtener un CVE. Si el proveedor está en 3., puede usar el formulario web para solicitar un CVE. 4. no se aplica, por lo que si no se aplica ninguno de los puntos anteriores (por ejemplo, si se trata de un software cerrado que no se encuentra en la lista de productos cubiertos), es posible que no obtenga un CVE.