CVEシステムの禁輸された脆弱性に関する公式情報リリースの文書化されたプロセスはありますか？

Common Vulnerabilities and Exposures（CVE）システムでの禁輸された脆弱性の公式情報リリースの文書化されたプロセスはありますか？

このようなプロセスが存在する場合、最近のインテルカーネルのページテーブルの脆弱性のような状況にどのように対処しますか？脆弱性は非公式のチャネルを通じてすでに公開されており、公開されている概念実証のエクスプロイトはすでに文書化されていますか？

この質問 に記載されている、最近禁止されたIntelカーネルのページテーブルの脆弱性を 影響を見積もる を試みています。その投稿で述べたように、この脆弱性には多数の参照があります socialmedia11月4日まで遡るアカウント 、 forums 、 多数ニュースサイト 、および Linuxパッチ （12月4日）も ベンチマーク 。それについて Wikipediaの記事 だけでなく、 公開ドキュメント も6か月前までさかのぼります。この脆弱性に関する公式情報の欠如と、ハードウェアの欠陥に対する厳格な公衆の監視と保留中のソフトウェアの回避策により、大量の矛盾する情報が公開されています。

このすべての非公式情報が利用可能であるため、パッチとディスカッションに共通の参照を提供する脆弱性に関連付けられた単一の識別子にまだ遭遇していません。 CVE番号があることはわかっていますが、禁止されているため、番号も公式のドキュメントも公開されていません。この脆弱性に対するパッチを含むLinuxの更新は、1月5日までにAmazonによってリリースされ、同様のものがMicrosoftによって1月9日にリリースされる予定ですが、公式情報がゼロのため、多くの組織（これらを含む）によってこれらの更新が展開されます。鉱山）多くのソフトウェアスタックの複数のレイヤーに約30％のパフォーマンスヒットを引き起こしながら、原因に関する激しく矛盾する情報のみに基づいています。

禁輸措置の背後にある考えを理解しています。修正または回避策が利用可能になる前に情報を公開しすぎると、エクスプロイトを作成する個人または組織に有利なスタートを切ることができます。ただし、すでに 概念実証のエクスプロイト文書化された があることを考えると、すでに入手可能な非公式情報の量は、禁輸措置を論議の的にしているようです。