再保险:CNA作业的话题…(Re:有请Kurt Seifried CVE编辑部)

你好布莱恩,

布莱恩·马丁说:

>我提到这个在less-than-subtle方面在去年。斜方忽略

>编辑部评论列表。

我们不确定“这”你,所以我们不能提供一个具体的、完整的响应。请澄清你的声明和横切的反应。

去年>,将Dormann CERT开发了一个工具,发现MitM问题

>在Android应用程序

>……

>证书,注册CNA,开始发行这些vulns id。关于

>三到四个星期,CVE /斜接任意决定,应该

为这些vulns >停止分配id。

Dormann先生的研究结果首次出版CERT脆弱性Notes数据库(CVE“部分覆盖源-其他”)和CERT CVE id分配给他们的发现作为CVE CNA的角色。斜方更加关心的是数量的id分配和讨论讨论后我们与CERT的担忧。斜方和CERT(包括Dormann先生),斜方和CERT同意前进,CERT停止发放id基于Android应用程序的自动化测试的结果。

关键因素导致证书和斜方之间的协议包括:

• 分歧斜方和证书是否每个证书代表一个漏洞的发现指出,需要进一步调查之前CERT分配CVE id。
• 而斜方同意,有有效的漏洞的发现指出,我们不接受笼统地断言是一个有效的脆弱性在每个Android应用程序,不验证证书。
• CERT脆弱性Notes数据库是部分覆盖源和一个低优先级的来源。
• 大量的低优先级结果断言漏洞需要把资源从处理,优先”必须“cf。
• 的考虑相对数量的爆炸cf发表为下游消费者会产生问题。
• CVE的not-yet-completely-settled讨论条件将处理自动化测试的结果。

>斜接,自己决定,没有咨询董事会,

> CNA * *停止发行id应该有效的漏洞。没有有效的理由

>,不向公众,不要将自己我打赌一美元。只是

>“哦上帝不阻止它。”

斜方不同意所有的CVE id被发行的证书是有效的漏洞。讨论了我们的立场和证书,并一致认为,证书将停止发行CVE标识的每一次发现从他们的研究被发表CERT: VU。这是在一封电子邮件中指出董事会(2015-04-09),并讨论了董事会会议/电话会议在去年RSA (2015-04-22)。

斜方往往使自己决定,但是他们是基于我们如何理解董事会希望CVE操作。斜方认为这个具体案例研究的结果产生的正常情况下需要澄清和讨论发行中央社。横切视图覆盖率和优先级决策仅仅是正常的做法。

>人在黑板上应该关注这里。为什么斜方

>这绝对权威停止发行IDs有效的漏洞吗?

主教法冠没有绝对权威。斜方运营和管理CVE根据我们如何理解董事会希望我们操作它。

我们希望上述帮助清理我们的决定关于Android应用程序的自动化测试,提出的问题和答案。

最好的问候,

横切CVE团队

- - - - - - - - - - -原始消息
来自:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org代表耶利哥
发送:周六,2015年11月07,前者
马尼恩:艺术< amanion@cert.org >
答:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:CNA作业的话题…(Re:有请Kurt Seifried CVE编辑部)
重要性:高

马尼恩结婚,2015年11月4日,艺术写道:

:2015-11-04 09:26,Kurt Seifried写道:

:

:>我知道的一件事是一些CVE面临的外部问题(例如

:>人要求CVE oss-sec,然后需要一段时间),我是

:>想知道如果有特定的内部问题/挑战,例如:是

:>请求采取很长时间/占用资源,因为请求

>可怜吗?我经常弹私人CVE请求回“我需要更多的信息,

:>特别X / Y / Z”,非常与起毛报告(我公司

:>需要最小化测试用例和根本原因分析,不是一堆100

:>文本文件命令行应用程序崩溃,事实证明

:>)。

:

:我们(CERT / CC)面临类似问题在我们CNA的角色。我们得到了研究人员

:要求CVE ID合法,但低严重性/影响

:漏洞,否则我们不会处理或发布。一个

:选择是重定向研究员cve-assign,有时

:回来”我已经问他们,所以我没有得到答案

:问CERT。”

好的,所以董事会……如果以上是外国吗?去读

漫画,忽略这一点。

您以下板流量的2%,和我kind-of-subtle戳

这个方向,抓住你的爆米花。

库尔特的邮件,和艺术的回答,是完美的。而斜方可以算出来

“今天”,前进,我将用这个作为一个机会

提起过去。和最好的部分?我将选择艺术!

我提到这个在less-than-subtle方面在去年。斜方忽略

编辑委员会的评论列表。没有人在黑板上

上,这是超越令人沮丧。因为这意味着他们是

可能无视vuln披露的现实世界。

所以,正式....主教法冠……这个请讲。

去年,将Dormann CERT开发了一个工具,发现MitM问题

在Android应用程序。他称之为“木薯”,而不是混淆

最近的木薯工具名称。因为研究人员在很大程度上是无知的

和谷歌不大便。

证书,注册CNA,开始发行这些vulns id。关于

三到四个星期,CVE /斜接任意决定,应该

停止对这些vulns分配id。

是的,一到八分钟的过程。

主教法冠,自己决定,没有咨询董事会,

CNA * *停止发行id应该有效的漏洞。没有有效的理由

了,不是向公众,不要将自己和我打赌一美元。只是

“哦,上帝没有阻止它。”

任何人在董事会应该关注这里。为什么斜方

这绝对权威停止发行IDs有效的漏洞吗?你

不能认为他们是有效的,因为斜方实际花费时间吗

写脚本导入将首次运行的漏洞!CVE

auto-imported到官方CVE数据库的数据,为食

NVD是我们行业的基石。在这一过程中,他们错过了

很多很多坏数据的条目由于原进口

脚本。这一天,我们有CVE条目说软件是脆弱的,

受影响的版本号的胡言乱语。然后,斜方决定,没有

更多id…告诉,CERT, CNA,停止分配。

一年后,暗指它在黑板上,斜方忽略

这些评论……我们到了。仍然没有解释为什么

决定,没有雇佣额外的实习一年~ 20 k导入

其他(预算1毫升+)…基本上,任何持有

负责。鉴于横切/ CVE的使命宣言,这并不工作

我。

如果你想知道这一切意味着什么,请你问问自己为什么。为什么

你没注意到去年吗?这是vuln的焦点

披露的世界,在许多方面。不是冒犯你,可是如果你没有注意到我

将在列表中,并没有注意到,你是真的

适合在黑板上吗?2014年vuln代表了近8倍

披露。然而,这并不反映在CVE,它不是

带到我们的注意力,或者我们的投票。你是真的舒服吗

纳税人资助的一家隐藏~ 80%的披露漏洞

年份?

我相信CVE寻找公共来源合理可信

:信息(这可能会对资源和产品列表)的

:基于CVE ID分配和条目。所以研究人员发布

然而,证书不受信任。见上图。如果我们不能信任CERT CNA……

我们能相信谁?

当然不是苹果,谁拒绝回答邮件澄清欺骗CVE

作业(2015年10月)。

当然不是微软和Adobe,保持2015 id分配问题

在2014年发现并披露。

当然不是IBM,他们发布了几百报告使用

错误的CVE ID,明确规定它是特定于供应商的,

告诉我和斜方停止…

当然不是思科,挑选哪些vulns CVE

作业,当被问及公共vuln(他们的信息

出版)选择而不是澄清/修订信息

请求……

有没有想我一直要求,并等待CNA指南吗

正式出版的呢?

整个系统被打破的。没有人监管。的

罕见乘以某个混蛋外部政策,他们会忽略过去

结束了。

:自己或删除邮件充分揭示可能还不够

:支持CVE ID分配和那样(无论是CERT

:供应商发布)。

哦,上帝,就此止步。F-D或Bugtraq是你1999年或2001年的例子。这是

2015年,你不能使用为例,公开挑战。看

oss-sec第一次,你就会明白为什么我很震惊,我不得不争取三个

年库尔特。然后再考虑稍微容易来源

教育局或PS…对于纯粹的怀旧,Bugtraq或FD,

放在前台的官方资料上横切监视器。

:虽然我支持每一个漏洞都应该有一个

:标识符——理想的CVE ID有权衡质量、

:数量/范围/覆盖,作业速度,和资源。它可能是

:工作政策,某些漏洞就不要让CVE

:id ?应该CNA (CERT)并联请求cve-assign或只是说“没有?”

如果一个CNA说“不”的要求在自己的软件,任何理由,他们

不应该是一个中央社。

故事结束了。

志愿者的努力,由3人在他们的业余时间,CVE的翻了一番

输出十年的一半。每年,斜接了1毫升+的

政府,而这些志愿者在他们的业余时间。

你不能争论CVE和有效性,没有解决

这一点。如果僧帽beauracracy如此复杂和阻碍

这个过程中,我们需要考虑备选方案。

。b