再保险:[技术]CD:模糊(模糊的供应商的描述漏洞)

安德烈·弗雷希说:>有几个待定项CVE安全工具只有相互参照>的引用,或没有引用。候选人没有引用,或者模糊的描述,一般定于拒绝。投票记录通常显示的选民感到困惑的问题正在讨论。它的最糟糕的项目从1999年夏天的“CVE草案”,因为我不知道如何重要的详细描述和良好的引用是:-)模糊的描述和可怜的/不引用映射错误的可能性也会增加CVE-compatible产品,另一个原因这些类型的cf应该避免。注:其中的一些问题可能是在早期提升为官方CVE条目。>的一些后者我们位于数据库作为竞争对手的项目>扫描特性这不是特别奇怪自草案CVE填充主要来自CERT警告和扫描工具数据库。也有可能这些被提升为条目。>或(更糟糕的)未确认/未引用的问题选择>由无排名前20位的列表。我会亲自检查列表,看哪个罐子你指的,除非你有一些具体的例子。埃里克·科尔可以谈论更多关于这个如果他的愿望,但许多项目在前20名中被确认为例前20名的类型的问题在说什么。 But since it was me who provided the CVE/CAN names for the examples, the blame is solely mine. >I don't know if these items can be rounded up into CD:VAGUE or if >there is another content decision affecting them, but there seem to be >enough of them to define a CD:VAGUE EXCLUSION type. I'd like CD:VAGUE to focus explicitly on vendor advisories, but I have generally taken the approach that a vaguely written candidate without explicit supporting references should be REJECTed. I haven't formalized this as a CD, however, though as you suggest, maybe I should. - Steve