web-dev-qa-db-ja.com

CVEを正確に作成する方法は?

Gitサーバーの脆弱性のヒープオーバーフローエクスプロイトを発見しました。これにより、さまざまなバグ報奨金プログラムで有利な操作が行われます(GitHubは、私を上位10位に入れることをすでに約束しています)

最近修正済み の場合、リモートでコードが実行されるケースは特定されませんでした。
その結果、Apple osxなどの多くのLinuxディストリビューションおよび主要な商用製品は、影響を受けるバージョンをまだ出荷しています。

ですから、この脆弱性について大きな宣伝をする時が来たと思います。そして、すべてで共有されるCVEがこれを達成するための最良の方法であり得ると思います。

私はそれらすべてに連絡する必要がある場合、これには年齢がかかります。

更新:

詳細については、プロフィールが このサイトメインページ に表示されるまでお待ちください。また、ベンダーで問題が解決されない限り、何もしません。

11
user2284570

Ohnanaが正式なCVEをリクエストする方法についても言及したように、それらは摂取フォームを経由します。

https://cve.mitre.org/cve/request_id.html

そのウェブサイトの現在のスナップショットからの詳細

主な方法正式に認められた CVE番号付け機関(CNA) のいずれかに連絡します。これにより、新しい脆弱性に関する最初の公開アナウンスにCVE ID番号が含まれます。

または、 CERT/CC などの緊急応答チームに連絡するか、 Bugtraq などのメーリングリストに情報を投稿するか、脆弱性分析チームに情報を提供します。

代替方法上記の主な方法でCVE識別子番号を取得できない場合は、CVEプロジェクトから直接CVE識別子番号を要求できます。新しい脆弱性を公開する前にCVE識別子番号を予約するには、脆弱性の研究者が[email protected]に連絡して、「研究者のためのCVE-ID予約ガイドライン」ドキュメントを提供します。その後、脆弱性を公開するプロセスを進めながら、お客様と協力して問題のCVE識別子番号を割り当てます。

研究者の責任を確認してください。 https://cve.mitre.org/cve/cna.html#researcher_responsibilities

CVE FAQへのリンクを追加します。 https://cve.mitre.org/about/faqs.html

4
Trey Blalock