web-dev-qa-db-ja.com

言及されていないクローズドソースのプラットフォームのCVEを提出できますか?

CVEを適用できるプラットフォーム/ベンダーのリストがあることに気づきました。

独自のプラットフォーム(市販されている)のCVEを見つけた場合はどうなりますか?CVEを割り当てる方法はありますか?

2
pzirkind

ベンダーが異なれば、脆弱性に割り当てられたCVE IDを取得するために、さまざまな手順を実行する必要があります。

MITRE CVE IDリクエストページはこちら をチェックすると、正しいCVEナンバリング機関を見つけた後、指示に従ってIDをリクエストできます。

ベンダーがどの表にも具体的に記載されておらず、関連するCNAがリストされていない場合は、MITREに直接連絡してCVE IDを要求する必要があります ここのフォームに記入

2
Ross Smith

ここでの主なことは、責任ある開示に従うようにすることだと思います。

から ウィキペディア

責任ある開示とは、脆弱性開示モデルを説明するコンピューターセキュリティ用語です。これは完全な開示のようなものですが、すべての利害関係者は、詳細を公開する前に脆弱性にパッチを適用する期間を許可することに同意します。

ベンダーにパッチを公開するのに十分な時間を与えずに脆弱性の詳細を公開するだけでは、攻撃者が安全なシステムをハッキングできるようになるため、実際には利益よりも多くの損害を与えることになります。

脆弱性を開示するのが初めてで、すべてが少し圧倒されるように思われる場合は、Ross Smithが言うように、CVEデータベースを実行するMITRE組織は、ユーザーとベンダーの間の仲介役として機能できます。

1
Mike Ounsworth