いつCVEを申請するのですか?
脆弱性を見つけた場合、ベンダーに連絡する前に、またはベンダーが問題を修正した後に、CVEアサイナーに連絡しますか?
PS: (CVE識別子はどのように割り当てられ、管理されますか? にnotリンクしないでください==、それは私の質問に答えません。
詳細を公開しなくてもCVE番号をリクエストできます。
以前にフォローしたタイムラインは次のとおりです。
- ベンダーに通知
- ベンダーの応答を待っている間にCVE番号を要求する
- 問題が修正されるか、一定の時間が経過したら、アドバイザリを公開します
私はCVEの人たちをかなり信頼できると考えています。公開する前に、脆弱性の高レベルの詳細を彼らに開示します。重複を避けるためにこれが必要ですが、詳細を非公開にするように指示できます。この時点で誰かがCVEを検索すると、「予約済み」と表示されます。私が公開するとき、私はCVEの人たちをコピーし、彼らはCVEエントリを更新して情報を含めます。
公開する前にCVEを取得する必要があります-アドバイザリにCVE番号を含めることは非常に重要です。
私の知る限り、まずベンダーに連絡します。バグトラッカーを指すoss-securityメーリングリストには、多数のCVE要求があります。もちろん、ベンダーが別の話である問題を無視した場合...
あなたの質問は、ベンダーに警告せずに開示することが倫理的であるかどうかにもっと関係があると思いますか?
問題のベンダーがCNA(CVE Numbering Authority)である場合、脆弱性をベンダーに報告する場合、ベンダーに即座にCVE#を割り当てる必要があります(これはRed Hatでの標準的な運用手順です)。 CVEの割り当てに失敗した場合は、cve-assign @ mitre.orgでMitreに行くことをお勧めします。
ベンダーがCNAでない場合は、cve-assign @ mitre.orgでMitreにCVEをリクエストできます。個人的には、この脆弱性がCVEを取得するタイミングを遅くせずに済ませたいと考えています(追跡と調整が容易になります)。
CVE IDを申請して許可された場合、脆弱性は一般に知られることになります。最初にソフトウェア開発者に連絡し、その応答を30日間待つことをお勧めします。脆弱性の重大度によっては、パッチを適用するまでは脆弱性を知らせないように求められる場合があります。
全体として、あなたが取るコースはあなたの決定です。ただし、ベンダーと協力することで、脆弱性のリリースによって引き起こされる可能性のある損害について責任を負うことはありません。