脆弱性のCVE IDを要求して取得するプロセスの実行に関して、2つの質問があります。
最初にベンダーに連絡して、脆弱性を認めてパッチをリリースしてからCVE IDを提出するのを待つべきですか、それとも今すぐCVE IDを提出すべきですか?
それは次のように述べています:
重要:CVE IDが脆弱性に割り当てられると、脆弱性に関する公開情報を指すURLを送信するまで、CVEリストに公開されません。公開参照がない場合、CVE IDはCVEリストで「予約済み」として表示されます。
私の質問は「公開情報を指すURL」についてです。この公開情報はベンダーから取得する必要がありますか、またはこの公開情報はエクスプロイトdbページを指すURLポイントのようなものにすることができますか?
CNA( CVE Number Author )で処理されない製品の脆弱性を見つけたら、ベンダーに通知する前にCVEを申請します。
このようにする理由は、セキュリティアドバイザリ/リリースノートでCVEを参照するようにベンダーに依頼できるようになったためです。そして今度は、CVEがベンダーのセキュリティ勧告/リリースノートを直接参照できるようになりました。
2番目の質問については、確認が問題のベンダーからのものである必要はないと思います。その場合、もはや保守されていない製品に対してCVEを発行することはできません。
CVEの目的は、特定の脆弱性を一意に識別することであることに注意してください。共通の参照がない場合、2つの異なる脆弱性スキャナーが同じ脆弱性をどのように識別するかを想像してみてください。 1つまたは2つの脆弱性の影響を受けているかどうかは不明です。
したがって、脆弱性を一意に識別するのに十分な詳細情報を提供できる限り、脆弱性を説明または確認する公開された資料を使用できます。対照的に、ベンダーが脆弱性を認めた場合、他者を直接リスクにさらす可能性のある複雑な詳細を提供することなく、脆弱性が存在することは間違いありません。
ベンダーに連絡することは、特にベンダーの観点から確認し、場合によっては評価してもらうために、一般的に役立ちます。
ただし、ベンダーではなく、脆弱性の発見にクレジットされていることを確認したい場合は、提出してベンダーに責任ある開示を行う必要があります。
これは任意のURLにすることができ、ベンダーからのものである必要はありません。責任ある開示である必要はありません。たとえば、エクスプロイトを使用してgithubリポジトリの説明にリンクできます。
ただし、通常は、パッチがリリースされた後のベンダーの通知、またはFinderからのブログ投稿です。