CVEを正確に作成する方法は?
Gitサーバーの脆弱性のヒープオーバーフローエクスプロイトを発見しました。これにより、さまざまなバグ報奨金プログラムで有利な操作が行われます(GitHubは、私を上位10位に入れることをすでに約束しています)。
最近修正済み の場合、リモートでコードが実行されるケースは特定されませんでした。
その結果、Apple osxなどの多くのLinuxディストリビューションおよび主要な商用製品は、影響を受けるバージョンをまだ出荷しています。
ですから、この脆弱性について大きな宣伝をする時が来たと思います。そして、すべてで共有されるCVEがこれを達成するための最良の方法であり得ると思います。
私はそれらすべてに連絡する必要がある場合、これには年齢がかかります。
更新:
詳細については、プロフィールが このサイト の メインページ に表示されるまでお待ちください。また、ベンダーで問題が解決されない限り、何もしません。
Ohnanaが正式なCVEをリクエストする方法についても言及したように、それらは摂取フォームを経由します。
https://cve.mitre.org/cve/request_id.html
そのウェブサイトの現在のスナップショットからの詳細
主な方法正式に認められた CVE番号付け機関(CNA) のいずれかに連絡します。これにより、新しい脆弱性に関する最初の公開アナウンスにCVE ID番号が含まれます。
または、 CERT/CC などの緊急応答チームに連絡するか、 Bugtraq などのメーリングリストに情報を投稿するか、脆弱性分析チームに情報を提供します。
代替方法上記の主な方法でCVE識別子番号を取得できない場合は、CVEプロジェクトから直接CVE識別子番号を要求できます。新しい脆弱性を公開する前にCVE識別子番号を予約するには、脆弱性の研究者が[email protected]に連絡して、「研究者のためのCVE-ID予約ガイドライン」ドキュメントを提供します。その後、脆弱性を公開するプロセスを進めながら、お客様と協力して問題のCVE識別子番号を割り当てます。
研究者の責任を確認してください。 https://cve.mitre.org/cve/cna.html#researcher_responsibilities
CVE FAQへのリンクを追加します。 https://cve.mitre.org/about/faqs.html