web-dev-qa-db-ja.com

CVE IDを割り当てるように、cve.mitre.orgに新しい脆弱性をどのように報告できますか?

これは架空の質問です。回答は、CVEがCVE IDを脆弱性にどのように発行するかを知るのに役立ちます。

私が責任ある開示の原則に従い、ベンダーに発見した脆弱性を報告したとしましょう。ベンダーは数か月たっても修正していません。

この脆弱性をcve.mitre.orgに報告して、CVE-IDを割り当てた後に脆弱性の詳細を公開するにはどうすればよいですか?

BugtraqおよびFull Disclosureのメーリングリストに脆弱性を投稿している独立した趣味のセキュリティ研究者の人々を見てきました。それらの脆弱性はcve.mitre.orgのCVE-IDに自動的に含まれています。これがどのように機能するかについてもっと知りたいです。私は、それぞれがCVD-ID番号を要求するためにCNAに電子メールを送信するとは思わない。

vulnerabilitycve
10
Lone Learner

[注: @ timによる回答 を参照してください。これは、私のクイックグーグルよりも完全な回答です。]

MITERには、cve.mitre.org、具体的には https://cve.mitre.org/cve/identifiers/index.html を参照してください。CVE識別子、それらの作成方法、および要求方法の詳細な説明を提供します1。

ホームページ https://cve.mitre.org のメイン列には、次の権限もあります。

CVE番号付け機関(CNA)

CNAsCVE-ID番号 を要求するための主な方法です。

CNAは、特定の脆弱性の詳細にMITERを直接関与させることなく、新たに発見された問題にCVE-IDを割り当てる主要なOSベンダー、セキュリティリサーチャー、および研究組織であり、CVE-ID番号を脆弱性の最初の公開開示に含めます。

現在、次の22の組織がCNAとして参加しています。林檎; Attachmate; BlackBerry; CERT/CC;シスコ; Debian GNU/Linux; EMC; FreeBSD; Google; HP; IBM; ICS-CERT; JPCERT/CC;マイクロソフト; MITER(プライマリCNA); Mozilla; Oracle; Red Hat;シリコングラフィックス;シマンテック;およびUbuntu Linux。

MITERにCVE-ID番号をリクエストするための所要時間に関するメッセージは、上記に掲載されています。 CNAからのCVE-ID番号のリクエストの詳細については、 CVE Numbering Authorities ページにアクセスしてください。

公式の回答に満足できない場合は、あなたが知っていること、およびあなたの質問に何が欠けているかを明記してください。

5
Mike Ounsworth

理論的には、CNAまたはメーリングリストにお問い合わせください

他の人が述べたように、あなたは [〜#〜] cna [〜#〜] に連絡します。ソフトウェアベンダーのリストで見つからない場合は、MITREに直接連絡してください。

CNAに連絡する代わりに、メーリングリストに投稿することもできます。 MITERはbugtraqについて言及しています-ここでは、脆弱性(CVEのリクエストではなく)を公開するだけで、理想的にはMITERによってCVEを取得します-ただし、主にCVEリクエストに使用されるoss-securityを使用することもできます( cve-assign @ MITREからの割り当て率なので、実際に価値があるかどうかを検討できます)。

複数の方法でCVEをリクエストする場合は、重複する割り当てを回避するために、成功したかどうかに関係なく、以前のリクエストに言及する必要があります。

これらの可能性は、MITREの Request a CVE 情報ページでも説明されています。

正式に認められたCVE番号付け機関(CNA)[... o] rに連絡するか、CERT/CCなどの緊急対応チームに連絡するか、Bugtraqなどのメーリングリストに情報を投稿するか、脆弱性分析チーム[...]上記の主な方法でCVE識別子番号を取得できない場合は、CVEプロジェクトから直接CVE識別子番号を要求できます。

実際には:MITERはCVEの割り当てに問題があります

問題は、発見された脆弱性の増加により、MITREが実際にCVEの割り当てに問題を抱えていることです。そのため、実際に脆弱性からCVEを取得するには、少しの運が必要です。

しばらく文句がありました [〜#〜] mitre [〜#〜] は彼らのウェブサイトでそれを「遅延」と呼んでいます:

IoT(Internet of Things)と呼ばれる最近のインターネット対応デバイスの急増、およびシステムでのソフトウェアベースの機能の普及により、日常的に受け取っているCVE要求の数が大幅に増加しています。私たちはこの成長率を予想していなかったため、結果として、過去12か月間のリクエストの最近の急増に対して、私たちが期待したほどの準備ができていませんでした。その結果、ソフトウェアセキュリティコミュニティが最近目にしたCVE割り当ての遅延が発生しています。その結果生じたご不便を認識し、解決に向けて努力しております。

MITERは遅延についてのみ話しますが、応答をまったく受け取っていないという報告もあります。 herehere または here を参照してください(これもまた私の経験と、oss-securityなどのメーリングリストでの活動が示すこと)。

2
tim

[〜#〜] exact [〜#〜]マイターからCVEを取得する方法は、cve-assign @ mitre.orgに電子メールで送信することです。それらを電子メールで送信するときは、CVEを要求する理由を具体的に示す必要があり、発見した内容の要旨を提供する必要があります。例えば:

Cross Domain Paradigm Shift (issue)
Paradigm Vendor (vendor)
Versions (version of software affected)
Synopsis (proof of concept helps, e.g., debugging info, URL if web based etc)
Any vendor contacts you have made (email, fax, telephone, etc)

ONLY TIMEマイターが応答しない場合、CNAを通過します。

1
munkeyoto