¿Qué identificador de CVE seguirá después de CVE-2012-9999?

5

Estoy escribiendo una aplicación que usa identificadores CVE para hacer referencias cruzadas de vulnerabilidades. Me gustaría hacerlo compatible con futuros identificadores CVE.

Si ocurre que hay más de 9999 identificadores CVE en un año, ¿qué número seguirá después de 9999?

Por ejemplo, ¿cuál será el identificador después de CVE-2012-9999? ¿Será CVE-2012-10000 o algo más?

El número CVE más alto en 2011 parece ser CVE-2011-5096, por lo que es solo cuestión de tiempo cuando esto se convierta en un problema real.

He intentado averiguarlo en enlace pero solo puedo encontrar lo siguiente:

  

Las entradas y candidatos CVE tienen el formato CVE-YYYY-XXXX donde YYYY   es un año, y XXXX es un número.

Eso no ayuda mucho.

    
pregunta snap 05.08.2012 - 20:15
fuente

3 respuestas

12

El sistema Vulnerabilidad y exposiciones comunes se mantiene mediante Mitre . La corporación Mitre administra la lista de CVE y sirve como organizador para la comunidad de CVE .

Al inicio del año, Mitre asignará bloques de números CVE a varias Autoridades de numeración CVE de la Full 9998 disponibles (0001-9999). Como resultado, todos los números CVE emitidos a una autoridad dentro de un año determinado estarán dentro de un rango. Por ejemplo, en 2012, todos los números CVE emitidos para productos Apple caen dentro del rango CVE-2012-3600 . Mitre dejará espacio sin asignar para emitir nuevos números de CVE si una autoridad de CVE agotara su suministro.

¿Y tu pregunta? ¿Qué pasa si tienen 10.000 números CVE emitidos en un año? Bueno, el la mayoría de los emitidos fue 6.608 en 2006 . Así que estuvo cerca, pero desde 2006 ha habido una tasa de disminución inquietante por lo que no parece que alguna vez emitiremos 10,000 números de CVE en un año. Si lo fuéramos, sospecho que tendremos CVE-2012-10000. Lo harían porque es regular, la única razón por la que tienen el esquema de números de cuatro dígitos es para permitir la asignación previa a las autoridades de CVE.

Por mi experiencia, el envío de un correo electrónico a Mitre es generalmente la mejor manera de obtener números CVE. Le tratan con respeto y tienen la opción de preservar su anonimato. Mitre trabajará con los proveedores para asegurarse de que los problemas se solucionen y emitir un CVE al público cuando haya una solución disponible.

    
respondido por el rook 05.08.2012 - 21:17
fuente
3

No fue necesario emitir nada más allá de CVE-2012-9999, ya que la última ID de CVE emitida para 2012 fue CVE-2012-6700.

Desde entonces, MITRE ha determinado que una situación como la que propones se manejaría simplemente agregando dígitos al final de la ID cuando sea necesario. Vea mi respuesta en la duplicado vinculado para más detalles.

    
respondido por el Iszi 21.01.2016 - 20:34
fuente
1

A partir de ahora tenemos CVEs más grandes (el proyecto DWF enlace ha sido asignado CVE-YEAR-1000000 a través de CVE-YEAR-1999999) . Acabo de asignar CVE-2016-1000000 a un problema encontrado por Tenable (Ipswitch WhatsUp Gold 16.4.1 WrFreeFormText.asp sUniqueID Parámetro Blind SQL Injection). Entonces, si no ha implementado enlace se encuentra en un mal momento.

    
respondido por el Kurt 17.05.2016 - 21:56
fuente

Lea otras preguntas en las etiquetas