web-dev-qa-db-fra.com

Que faire après avoir eu un cve?

J'ai récemment signalé une vulnérabilité de sécurité et elle a été corrigée. Le patch (et le problème associé) sont tous les deux à la fois ouverts dans un repo github (aka public). J'ai contacté [email protected] pour obtenir un identifiant CVE émis pour la vulnérabilité. J'ai reçu un identifiant CVE.

Dois-je faire autre chose (par exemple une preuve d'approvisionnement du code concept, etc.), ou je suis terminé?

19
David Dworken

Étant donné que vous avez fait référence Github, je suppose ce lié à un certain type de En tant que projet open source, une note oss-sec est une bonne idée. Cela apportera à l'attention de la plupart des distributeurs en amont.

Vous n'êtes pas obligé de souscrire à poster pour oss-sec, mais vous devez noter soigneusement l'étiquette/directives de contenu dans le lien ci-dessus. A fouiller dans les archives devrait vous orienter dans la bonne direction, celui-ci est une publication récente (du mainteneur de la liste), la forme dont vous pourriez utilement copier: http: // seclists .org/oss-sec/2015/q3/61

Le NIST Base de données nationale de la vulnérabilité est pilotés par des données CVE et devrait être mis à jour dans un proche avenir, ils ne suggèrent pas combien de temps cela pourrait prendre bien. Le FAQ NVD a aussi quelques détails utiles, y compris les procédures de contact manquants ou des entrées incorrectes. Je vous suggère de lui donner au moins deux semaines (selon des données empiriques) après que vous publiez sur oss-sec avant de donner suite cependant, les gens CVE ont tendance à être occupé.

16
mr.spuratic