web-dev-qa-db-ja.com

CVEを取得したらどうしますか?

私は最近セキュリティの脆弱性を報告し、パッチを当てました。パッチ(および関連する問題)は、どちらもGithubリポジトリ(公開)で公開されています。私は[email protected]に連絡して、脆弱性に対して発行されたCVE識別子を取得しました。 CVE識別子が発行されました。

他に何かする必要がありますか(たとえば、Proof of Conceptコードを提供するなど)、それとも完了ですか?

19
David Dworken

あなたがGithubを参照しているとすれば、これはいくつかのタイプに関連すると仮定します オープンソースプロジェクトとして、 oss-sec へのメモは良い考えです。これはほとんどの上流のディストリビューターの注意を引くでしょう。

Oss-secへの投稿を購読する必要はありませんが、上のリンクのエチケット/コンテンツガイドラインに注意してください。 the archives による説明は、正しい方向を示しているはずです。これは、(リストのメンテナからの)最近の投稿であり、便利にコピーできる形式です。 http:// seclists .org/oss-sec/2015/q3/61

NIST National Vulnerability DatabaseCVEデータによって駆動される であり、近い将来更新されるはずですが、どれくらいかかるかは示唆されていません。 NVD FAQ には、欠落または不正なエントリの連絡手順を含む、いくつかの有用な詳細もあります。それを与えることをお勧めします少なくとも2週間(経験的な証拠に基づいて)oss-secにポストした後、フォローアップする前に、CVEの人々は忙しい傾向があります。

16
mr.spuratic