关于CVE作业oss-sec邮件列表

所以今天早些时候我分配一个CVE oss-security邮件列表:

原始请求:

http://www.openwall.com/lists/oss-security/2015/11/24/11

时间:星期二,2015年11月24日09:19:33 -0800

我的CVE回答:

http://www.openwall.com/lists/oss-security/2015/11/26/1

日期:2015年11月结婚,25 20:14:56 -0700

所以仅在一天之后。我分配的原因一是请求明确表示,他们需要在24小时内,和先前问道主教法冠(9天前)。另外CVE请求是形成和简单(单一问题,原始链接,链接到安全顾问),requestee大卫Jorm (Red Hat的以前,也我的经理在Red Hat大约一年前他离开我知道他很好),他非常熟悉CVE请求,发现12 +问题,和处理安全响应几十甚至上百,而他在Red Hat所以我觉得这是一个相对安全的任务(例如,它是一个安全漏洞,它不需要CVE分裂/合并,它包含小野代码库,等等)。

说,这是向我指出,我不应该指定一个

”提醒一下,目前还没有协议之间

横切CVE团队和Red Hat,让Red Hat分配一个CVE ID

这样的一份公开报告。”

我其实不知道是谁发送电子邮件,因为它来自通用cve-assign@地址和只是签署了“CVE作业团队,横切CVE编号的权威“但我假设这是合法的(在某种意义上,这是官方的主教法冠视图)。

我知道有些请求可以不要求/沟通(我所有的时间最喜欢的”这是某些随机fuzzer崩盘的情况下,你能分析每一个和分配cf吗?”),可以来回需要一些(我有一些案例已经十几个邮件来解决到底是什么当人们在我们的东西来和vulns Red Hat)但是这并不在这里似乎是一个问题。

我的问题是我们如何处理这些情况在未来,甚至更理想的我们能做什么来阻止他们(如人请求CVE僧帽,什么也不会发生,然后他们问公开,什么也不会发生)。我愿意回填CVE oss-security作业,但这将使最初的问题(斜方要回答请求)和不工作很好问题需要被禁止的。

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com