Common Vulnerabilities and Exposures(CVE)システムでの禁輸された脆弱性の公式情報リリースの文書化されたプロセスはありますか?
このようなプロセスが存在する場合、最近のインテルカーネルのページテーブルの脆弱性のような状況にどのように対処しますか?脆弱性は非公式のチャネルを通じてすでに公開されており、公開されている概念実証のエクスプロイトはすでに文書化されていますか?
この質問 に記載されている、最近禁止されたIntelカーネルのページテーブルの脆弱性を 影響を見積もる を試みています。その投稿で述べたように、この脆弱性には多数の参照があります socialmedia11月4日まで遡るアカウント 、 forums 、 多数ニュースサイト 、および Linuxパッチ (12月4日)も ベンチマーク 。それについて Wikipediaの記事 だけでなく、 公開ドキュメント も6か月前までさかのぼります。この脆弱性に関する公式情報の欠如と、ハードウェアの欠陥に対する厳格な公衆の監視と保留中のソフトウェアの回避策により、大量の矛盾する情報が公開されています。
このすべての非公式情報が利用可能であるため、パッチとディスカッションに共通の参照を提供する脆弱性に関連付けられた単一の識別子にまだ遭遇していません。 CVE番号があることはわかっていますが、禁止されているため、番号も公式のドキュメントも公開されていません。この脆弱性に対するパッチを含むLinuxの更新は、1月5日までにAmazonによってリリースされ、同様のものがMicrosoftによって1月9日にリリースされる予定ですが、公式情報がゼロのため、多くの組織(これらを含む)によってこれらの更新が展開されます。鉱山)多くのソフトウェアスタックの複数のレイヤーに約30%のパフォーマンスヒットを引き起こしながら、原因に関する激しく矛盾する情報のみに基づいています。
禁輸措置の背後にある考えを理解しています。修正または回避策が利用可能になる前に情報を公開しすぎると、エクスプロイトを作成する個人または組織に有利なスタートを切ることができます。ただし、すでに 概念実証のエクスプロイト文書化された があることを考えると、すでに入手可能な非公式情報の量は、禁輸措置を論議の的にしているようです。
昨日の夕方(1月3日)のGoogleの開示には、禁輸措置の終了の簡潔な要約が含まれていますが、これは当初1月9日に計画されていましたが、すでに入手可能な公開情報の量が原因で1週間前に移動されました。
" サイドチャネルで特権メモリを読み取る "から:
私たち[Google]は、この問題をIntel、AMD、およびARM= 2017-06-01に報告しました。
" 今日のCPUの脆弱性:知っておくべきこと "から:
2018年1月9日の当初調整された開示日より前に掲載しています。これは、既存の公開レポートと、報道やセキュリティ研究コミュニティにおけるこの問題に関する推測が高まり、搾取のリスクが高まるためです。完全なProject Zeroレポートが近づいています(更新:これは公開されています。上記を参照してください)。
禁輸措置が終了するとすぐに、CVE識別子と開示が公開されました。
Mitre CVE-2017-5754 および NIST NVD CVE-2017-5754
Mitre CVE-2017-575 および NIST NVD CVE-2017-575
Mitre CVE-2017-5715 および NIST NVD CVE-2017-5715
CVE識別子は、CVEおよびNVDデータベースで数時間プレースホルダーとして機能したエンバーゴの終わりに公開されました。 1月4日の時点で、これらのサイトを介して公開されています。