web-dev-qa-db-ja.com

CVE-2017ナンバリングの大きな飛躍はなぜですか?

今年のCVEエントリ からの番号付けがCVE-2017-15xxxからCVE-2017-1000xxxにジャンプした理由を誰かが説明できますか?

番号シーケンスCVE-2017-16xxx、CVE-2017-17xxxなどのエントリについてはどうですか?

〜984 000のエントリに連続番号が付けられないのはなぜですか? 公式ドキュメント を読んでも、この質問に対する答えはわかりません。

12
urandom

おそらく、この欠落しているブロックがCVE Numbering Authorities(CNA)に割り当てられていたためです: https://cve.mitre.org/cve/cna.html 。 CNAの脆弱性が自社製品のいずれかに影響を与えるとすぐに、欠落しているCVEが割り当てられます。

CVEの詳細ページで、特定のCVEを割り当てたCNAを確認できます。例: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8811 (Debianはそれをしました)

4
VP.

CVE IDは、CVE Numbering Authorities(CNA)によって割り当てられます。

CVEプログラムは、フェデレーテッドCNA構造を使用します。

CNA structure

CNAがCVE IDを割り当てる場合、CNAはその親にCVE IDブロックを要求する必要があります。これにより、このブロックは予約済みとしてマークされます。

CVE ID assignment process

すべてのCVE-20XX-1000XXXの脆弱性は CNAリスト に従って、ルートCNAである 分散型弱点ファイリングプロジェクト によって割り当てられました。

MITREによって述べられているように 、DWFプロジェクトには7桁のブロックが割り当てられており、他のCNA割り当てとの割り当てを区別しているので、そのような大きなジャンプがあります。

3
Benoit Esnard