[技术]高级候选人最近SNMP的问题

,最近宣布SNMP问题使用CVE候选人构成特殊的挑战。CVE内容决策决定的基本问题是,我们应该提供不同的候选人所影响的每个实现原型套件(吉姆Magdych,这可能不是一个好时机把旧的参数请;-)尽管问题的数量和复杂性,CVE内容决定很清楚应该如何分配:候选人——独立候选人每个受影响的代码库(CD: SF-CODEBASE) -独立候选人为每个类型的问题在同一个代码库(CD: SF-LOC)和版本不过,此时没有足够的信息来分配合适的候选人。所以,我们目前只有几个候选人,他们在一个更高的抽象级别比他们“应该”(相对于内容决定)。代码是一个困难的问题,但是一般的方法可能会区分供应商,除非有明确的证据表明多个供应商使用相同的代码库。下面是当前候选人名单,CERT / CC已经分配和宣传。他们将在CVE网站不到一个小时。他们可能会改变迅速,不另行通知。我们更好地了解细节,我将分配独立的候选人更明确地识别问题。如果其他通用漏洞的“类”也发现,其他高级候选人很可能将被创建,。这是一个典型的例子的CVE内容决策依赖于可用的信息量。 I've been able to remove the dependencies of content decisions on certain types of information, but there is still a reliance on problem types, affected codebases, and affected versions. I alluded to this difficulty in a post to Bugtraq a week or two ago. - Steve ====================================================== Candidate: CAN-2002-0012 URL:http://cve.mitre.org/cgi - bin/cvename.cgi?name=can - 2002 - 0012最终决定:阶段性裁决:修改:建议:分配:20020110类别:科幻参考:国际空间站:20020212原型远程SNMP攻击工具参考:网址:http://www.iss.net/security_center/alerts/advise110.php参考:CERT: ca - 2002 - 03年参考:网址:http://www.cert.org/advisories/ca - 2002 - 03. - html参考:CERT-VN: VU # 107186参考:网址:http://www.kb.cert.org/vuls/id/107186漏洞在大量的SNMP实现允许远程攻击者造成拒绝服务或通过SNMPv1陷阱处理,获得特权所展示的原型c06-SNMPv1测试套件中。注意:很有可能,这个候选人将分成多个候选人,每个供应商的一个或多个。这和其他snmp相关候选人将被更新更准确的信息是可用的。= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =候选人:- 2002 - 0013网址:http://cve.mitre.org/cgi - bin/cvename.cgi?name=can - 2002 - 0013最终决定:阶段性裁决:修改:建议:分配:20020110类别:科幻/ CF / MP / SA / /未知参考:国际空间站:20020212原型远程SNMP攻击工具参考:网址:http://www.iss.net/security_center/alerts/advise110.php参考:CERT: ca - 2002 - 03年参考:网址:http://www.cert.org/advisories/ca - 2002 - 03. - html参考:CERT-VN: VU # 854306参考:网址:http://www.kb.cert.org/vuls/id/854306漏洞SNMPv1请求处理的大量的SNMP实现允许远程攻击者造成拒绝服务或通过(1)GetRequest获得特权,(2)GetNextRequest,和(3)SetRequest消息,展示的原型c06-SNMPv1测试套件中。注意:很有可能,这个候选人将分成多个候选人,每个供应商的一个或多个。这和其他snmp相关候选人将被更新更准确的信息是可用的。