web-dev-qa-db-ja.com

ベンダーが確認脆弱性にCVEを割り当てていない場合はどうすればよいですか?

大規模なIT企業の広範な製品にセキュリティの脆弱性が見つかりました(この企業はCNAとしてここにリストされています: http://cve.mitre.org/cve/cna.html#participating_cnas )。

私たちは会社に通知しました、彼らは問題を認めて、彼らはそのパッチをリリースするつもりです。

具体的には、見つかった脆弱性にCVEを割り当てるように依頼しましたが、CVEから内部の「バグ識別子」が返されました。

これは「通常の」動作ですか?

見つけたバグにCVEを割り当てない場合、どうすればCVEを取得できますか?

ありがとう

5
user45614

おそらく、彼らは公開CVEを作成する前にパッチをリリースしたいと考えています。パッチを適用する前にパブリックCVEをリリースした場合、現在のバージョンが攻撃を受ける可能性があるため、害を及ぼすだけです。彼らがパッチをリリースして顧客に通知できるようになったら、CVEをリリースして一般大衆を巻き込むことを期待します。

2
Jason Higgins

CVEを取得して「解放」しても、悪用が行われるわけではなく、脆弱性の詳細もリリースする必要があります。また、CNAの1つがプレイしていないときに「CVEショッピング」に行くのは理想的ではありません。それが発生した場合は、Mitreに直接アクセスして[email protected]に連絡し、CNAをポークできるように通知してください。うまくいけば、MiterがCVEを割り当てます。

0
Kurt