web-dev-qa-db-ja.com

CVE識別子はどのように割り当てられ、管理されますか?

CVE識別子(別名CVE ID)は、特定の脆弱性を一意に識別するために使用されます。私たちは皆、さまざまな速報でそれらを見てきましたが、問題を調査するときに役立ちます。しかし、彼らはどのように割り当てられますか?バグのCVE IDの取得にはどのようなプロセスが含まれますか。ベンダーはそのプロセスにどのように適合しますか?誰かが気まぐれでCVE IDを要求できますか、それとも証拠や詳細が必要ですか?

9
Polynomial

CVEを取得する方法は複数あります。

CVE番号付け機関(CNA)の1つ、緊急対応チーム(CERTなど)、またはCVEプロジェクトに連絡することができます。製品のベンダーがCNAとしてリストされている場合は、ベンダーに連絡してCVEを取得する必要があります。

CVE割り当て者が決定を下すことができるように十分な情報を提供する必要があります(CVEの提供、他のCVEとのマージなど)。

詳細については、 http://cve.mitre.org/cve/request_id.html および http://cve.mitre.org/cve/cna.html#researcher_responsibilities を参照してください。 =

Drupalなどの一部のベンダーは、研究者から要求されたCVEをまだ持っていない公開されたセキュリティアナウンスのために、openwall経由でCVE識別子をまとめて要求します。

7
Heine

更新のみで、このプロセスは変更され、「エビデンスベース」のCVEに加えて、「リクエストベース」のCVEがあります(正直に言うと、これは、私が発行した5000のCVEのいくつかに対してすでに実行しているプラ​​クティスです。私が信頼してリクエストを適切に行う人。CVEリクエストを適切に実行した履歴があるため、多くの証拠は必要ありません)。

0
Kurt