web-dev-qa-db-ja.com

ゼロデイ脆弱性を開示する場所

シンプルなPostScriptファイルを直接送信するとデバイスがクラッシュする可能性がある、さまざまなRicohプリンターに脆弱性が見つかりました。

回復するには、プリンターに物理的にアクセスし、キューをクリアするための管理アカウントが必要です(そうしないと、再起動後に再びクラッシュが発生します)。

これにより、シンプルで迅速なサービス拒否攻撃が可能になります。適切なネットワークに接続している場合は、すべてのプリンターを数秒以内に無効にすることができます。

私たちは何ヶ月もリコーに連絡を取ろうとしました(しかし、私たちは多かれ少なかれ黙って無視されました)、そしてようやく、私たちの国の責任者と話すことができました。彼は問題を見ていないと述べた。

私たちは責任ある開示の規則に従っており(リコーは1か月前に警告されました)、彼らは問題に対処しないことを明確に述べました:where問題を開示すべきですか?

55
Matteo

これを担当するCNAであるMITER( https://cve.mitre.org/cve/request_id.html )からCVE IDをリクエストする必要があります。

その後、BugtraqやFullDisclosureなどのセキュリティメーリングリストで公開できます。セキュリティ雑誌やニュースサイトもこの脆弱性に関心がある可能性があります。彼らに直接連絡して、脆弱性を公開することに関心があるかどうかを尋ねることができます。とにかく、彼らはおそらくBugtraqとFullDisclosureをフォローしています。

37
D.O.

脆弱性を開示したい場合は、適切なCNAに連絡することをお勧めします。この link の下にリストがあります。これで、CVE IDを要求でき、この脆弱性が実際に存在する場合はすべて続行されます。

10
CDRohling