私人/ Re: CVE的“秘密”问题

在星期四,11月19日,2015 28点,耶利哥<jericho@attrition.org>写道:

我知道这样的公司不希望给任何信息
关于他们0天,这是一个巨大的一部分(和声誉
因此销售)。我不明白的是,当他们释放一打
利用已经披露的问题,他们不匹配CVE
如果一个人的存在。为什么告诉人们“我们可以利用远程WordPress缺陷”
我们知道是公共的,而不是哪一个?作为一个客户,我肯定会
想知道。但是,它可能是一个实际利用情况
引用它,公众利用发布版本/列表
包不。现有客户是有道理的,但似乎失踪
在潜在销售不是很模糊的描述
有帮助的。

考虑经济刺激我怀疑这是由于这样的事实:1)内部为什么要做这项工作,你可以得到社区去做和匹配起来,2)通过不附加CVE它们使工作看起来可能原始而不是“这是旧的和众所周知的”。

惠普的TippingPoint ZDI并使用CVE多数问题,和
他们也很好的回答问题如果有混乱
在任务或问题与供应商跟踪
咨询。我经常给他们发邮件感谢他们的帮助的时候
向上

一般来说,大多数我考虑CVE口语作业
没有好处,甚至可能伤害他们的竞争力。此外,从他们的
眼睛,什么是价值,如果他们不打算发布过的细节,和
没有验证复制到另一个披露?

0天的经济再次攻击工具卖家肯定是鼓励对任何公开披露或被供应商可悲的是这些问题固定。

而不是试图处理0天卖家CVE的也许我们让他们的顾客需求。有斜方程序/材料教育消费者(如公司)CVE的价值?

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com