¿Cómo crear exactamente un CVE? [duplicar]

6

Encontré una vulnerabilidad de desbordamiento de pila para una vulnerabilidad en los servidores git. Esto condujo a operaciones lucrativas en varios programas de recompensas de errores (GitHub ya prometió ubicarme en su top 10) .

Cuando se corrigió corregido recientemente , no se identificó el caso de ejecución remota de código. Como resultado, muchas distribuciones de Linux, así como productos comerciales de línea principal como Apple osx todavía se distribuyen en versiones afectadas.

Entonces, creo que es hora de hacer una gran publicidad sobre la vulnerabilidad y que un CVE compartido entre todos puede ser la mejor manera de lograrlo.

Esto solo tomaría edad si necesito contactarlos a todos.

Actualización:

Para aquellos que buscan información sobre los detalles, solo espere a que mi perfil aparezca en la página principal de este sitio . Tampoco intentaré nada mientras el problema no se solucione con el proveedor.

    
pregunta user2284570 11.12.2015 - 03:40
fuente

1 respuesta

2

Como Ohnana también mencionó, la forma de solicitar un CVE formal es a través de su formulario de admisión.

enlace

Detalles de una instantánea actual de ese sitio web

Métodos principales Póngase en contacto con una de las Autoridades de numeración de CVE (CNA) , que luego incluirá un número de identificador de CVE en su anuncio público inicial sobre su nueva vulnerabilidad.

O, póngase en contacto con un equipo de respuesta a emergencias, como CERT / CC , etc., publique la información en listas de correo tales como Bugtraq , o proporcione la información a un equipo de análisis de vulnerabilidad.

Método alternativo Si no puede obtener un número de identificador de CVE a través de los métodos principales mencionados anteriormente, puede solicitar un número de identificador de CVE directamente del proyecto de CVE. Para reservar un número de identificador de CVE antes de publicar una nueva vulnerabilidad, los investigadores de vulnerabilidades pueden comunicarse con [email protected] y le proporcionaremos nuestro documento "Pautas de reservaciones de CVE-ID para investigadores". Luego, trabajaremos con usted para asignar un número de identificador de CVE para el problema mientras realiza el proceso de divulgación pública de la vulnerabilidad.

Por favor revise las Responsabilidades del Investigador. enlace

Agregando un enlace a las preguntas frecuentes de CVE. enlace

    
respondido por el Trey Blalock 11.12.2015 - 23:32
fuente

Lea otras preguntas en las etiquetas