再保险:关于CVE作业oss-sec邮件列表

马克,我们一直积极与上游供应商合作,确定适当数量的cf git的漏洞。没有oss-security横切的横切,因为上下文的之前的工作与私人通信和上游供应商。初始请求中的信息(http://seclists.org/oss-sec/2015/q4/37)要求我们推断的漏洞代码差别和模糊的更新日志语句。从历史上看,基于CVE作业这种类型的信息被证明是困难和容易出错。例如,我们不知道在库尔特的转让cve - 2015 - 7545“一些协议(如git-remote-ext)可以执行任意代码中发现URL”是正确的。供应商可能没有正式支持“盲目使递归获取”场景,即用户预计将接受的风险执行递归获取一个不可信的来源,和改变应该考虑安全硬化特性为方便用户。在这些情况下斜方依赖于供应商的指导。在未来,我们打算像最初的一个快速响应请求,要求请求方所需的适当的信息分配一个CVE ID。如果编辑委员会成员建议更好的方法来处理这些情况,我们将不胜感激你的输入。主教法冠公司——乔纳森埃文斯CVE团队> - - - - - manbetx客户端首页- - - - - - >从原始信息:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial -考克斯> board-list@lists.mitre.org]代表Mark J >发送:周二,08年12月,2015年5点>:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org > >主题:Re:关于CVE作业在oss-sec邮件列表> > >“提醒一下,目前还没有协议> >横切CVE团队之间和Red Hat,让Red Hat分配一个CVE ID > >一份公开报告。”> >I spotted a security advisory come out from my team today which had no CVE > on it. What, how is that possible? We make a big deal about having > vulnerability identifiers on every vulnerability we fix in a Red Hat > security advisory, since we started doing this 15-odd years ago. > >https://rhn.redhat.com/errata/rhsa - 2015 - 2515. - html> >我的团队告诉我11月固定同样的问题我们已经在不同的产品>。> >要求CVE名称去oss-security, 10月和11月> repinged之前第一个咨询。> >http://seclists.org/oss-sec/2015/q4/358> >在过去我们只是带一些我们CNA并要求>宽恕后,有点像库尔特在这个线程问题。> >我想安全问题被固定在Red Hat Enterprise Linux >得到CVE的东西,不管怎样减少夹杂物>标准可以申请(甚至不是在一个名不见经传的组件或一些老>版本中,这是最新的RHEL和git) > >我们想要一个漏洞标识符每vulnerabilty我们知道>我们修复。这意味着我们要么继续响,叫>人之前类似RHSA冠冕,或开始滥用我们的CNA权力,>或发明自己的临时CXX前缀。> >标记