web-dev-qa-db-ja.com

CVEIDの年と開示の遅れ

使用中のCVE識別子は、特定の時点で必ずしも公開されているとは限りません。脆弱性が公開されたときまたは公開された後に公開されます。

これは、CVE IDに含まれる「年」が、脆弱性の最初の公開レポートの年(したがって、MITREでCVE IDがCVE検索に使用できるようになる時期)よりも古いことが多いことを意味しますか?または、公開に関連するいくつかの制限内で、年を公開の年と相関させるメカニズムはありますか?

脆弱性自体は2010年以降、CVE IDがなく、ある意味で公開されていたため、2014年に割り当てられた、または公開されたばかりのCVE-2010-5298のような例については言及していません。

私は、2017年を通してヘッドラインを埋めるが、ベンダーが7年間密かにそして故意にそれに座っているため、CVE-2010-somethingとラベル付けされる大きな架空の現在未知のバグについて言及しています。

1
Jirka Hanika

これは、CVE IDに含まれる「年」が、脆弱性の最初の公開レポートの年(したがって、MITREでCVE IDがCVE検索に使用できるようになる時期)よりも古いことが多いことを意味しますか?

CVEは、割り当てられるとすぐに検索できます。詳細がまだ公開されていない場合、エントリには次の内容が反映されます。

**予約済み**この候補者は、新しいセキュリティ問題を発表するときに使用する組織または個人によって予約されています。候補者が公表されると、この候補者の詳細が提供されます。

私は、2017年を通してヘッドラインを埋めるが、CVE-2010というラベルが付けられる、現在未知の大きな仮想バグについて言及しています。これは、ベンダーが7年間密かにそして故意にそれに座っているためです。

はい、これは発生する可能性があります。予約済みCVEへのエントリは次のように述べています。

免責事項:エントリの作成日は、CVE-IDが割り当てまたは予約された時期を反映している場合があり、この脆弱性が発見された、影響を受けるベンダーと共有された、公開された、またはCVEで更新された時期を必ずしも示すものではありません。

エントリー日は、CVEIDの基になっています。同じ問題は、混乱を引き起こすため、(エラーが発生しない限り)複数のCVEを受信しません。

実際には、ベンダーがそれに座りたい場合、CVEを要求することはありません。研究者がCVEを要求した場合、ベンダーが問題を修正するための努力を示さなければ、彼らはおそらくいくつかの詳細を公開します。

2
tim