(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
再保险:定义什么是CVE值得下载/安装和容器
- 来:Kurt Seifried <kseifried@redhat.com>,cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 主题:重新定义什么是CVE值得下载/安装和容器
- 从:常见的漏洞和风险敞口<cve@mitre.org>
- 日期:结婚,2016年6月8日03:14:41 + 0000
- 接收语言:en - us
- Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = mitre.org, mitre.org;dkim = none(消息没有签署)header.d =没有;
- 交货日期:2016年6月8日07:48:23结婚
- 在回复:<卡诺= Ty2Ou7hkVn4eJGdEw_g-qJMJL0iMf7PhbQpaFXHNu4UYhA@mail.gmail.com >
- 名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
- List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
- List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
- List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
- 引用:<卡诺= Ty2Ou7hkVn4eJGdEw_g-qJMJL0iMf7PhbQpaFXHNu4UYhA@mail.gmail.com >
- 发送方:<owner-cve-editorial-board-list@lists.mitre.org>
- Spamdiagnosticoutput:1:3
- Thread-index:AQHRwA / siVawoppp + 0 ugxfvm5fp0op / e4cOQ
- Thread-topic:定义什么是CVE值得下载/安装和容器
|
库尔特-
你非常清楚,CVE作业从来都不是一门精确的科学。以下是我们目前的实践的描述:
·
的问题是否“软件代理完全按照设计”取决于谁发送CVE ID请求。例如,它是合理的供应商的服务器来提供相同的可执行代码(或更新服务)通过HTTP和HTTPS URL硬编码到一个客户端产品——通过设计应该从HTTPS开始,但它从HTTP偶然。因此,如果它是一个vendor-initiated CVE ID标记请求所需的安全更新他们的客户,然后请求总是接受的CVE ID。
·
如果CVE的起源ID请求似乎无关的,写代码,然后(有时但不是100%的时间)CVE ID请求被拒绝,建议咨询供应商。
·
很难达到100%的拒绝,即使CNA想,因为这个人发送CVE ID请求可能忽视了,或者不愿提及,问题的确切性质。一大部分的人认为,它总是一个漏洞对于任何产品,不断使可执行代码在未加密的HTTP请求,没有其他完整性保护,每当接收到响应和执行代码。因为这是明显的在他们的世界观,他们的漏洞描述可能专注于其他细节,操纵文件格式等。
·
我们的主流观点是,HTTP /可执行代码的情况下,最好的一个中央社所能做的就是分配CVE id在这种情况下,他们相信CVE消费者希望这些id存在。如果请求者发送一个可信的描述开发可能性高,而且没有反诉从供应商本身,这是“软件代理一样设计,那么它能有资格拥有CVE ID。
这对于华硕比赛发生了什么(供应商拒绝回应)。如果另一个请求者不描述开发可能性或断言,基本上没有开发可能性,然后从供应商没有澄清,请求可以拒绝在“软件代理完全按照设计”。
换句话说,存在CVE ID应该少依赖一个全面的理论,什么是一个漏洞,而更取决于判断ID是否会帮助现实中的组织与风险管理。CNA这需要更多的工作,但让CVE更有用的100%与100%的接受或拒绝的选择。
问候,
CVE团队
来自:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Kurt Seifried
所以我看过经典的“CVE安全漏洞,是一个安全漏洞是跨越信任边界”。
显然这是开放,各种各样的解释,例如密码我们都同意一个秘密与硬编码的密码是一个CVE后门,但应用程序的默认密码,然后被迫改变一旦你登录吗?什么必须暴露在网络应用程序(引入种族攻击者可能会在第一次)?一般来说我们有一个好主意的界限的密码(记录?多变的吗?有一个现实的安全的方法来部署这个产品?)。
首先一个小故事:我的儿子玩"我很多,所以我要设置一个服务器。我发现了一些软件,设置当然是恼人的(有些奇怪的依赖关系不打包我的平台选择的)。所以我想“嘿,让我们找到一个集装箱码头工人!”,幸运的是有几个:
你会注意它的线:
运行cd PocketMine-MP & & wget - q - o -http://cdn.pocketmine.net/installer.sh| bash - s -β- v
这是一个奇特的方式说“去吗http://cdn.pocketmine.net/installer.sh并运行它“幸运的是这是稍微减轻了
用户pocketmine
声明,这意味着该命令运行作为一个用户,而不是根。但github的快速搜索显示:
例如显示:
不降级到用户,而是作为根用户运行脚本。所以点做我们在沙地上画一条线”“下载随机的东西,并运行它作为CVE值得吗?我的想法:
让它少CVE值得:
1)文件提及这是做什么,这是很危险的 2)降低到更少的特权用户 3)使用HTTPS服务内容 4)使用一个众所周知/信任的网站服务内容
使它更CVE值得:
1)没有文档/提到它在做什么 2)以特权用户身份运行命令(如根) 3)使用HTTP下载内容(和没有端到端签字/检查) 4)使用基本随机服务器没有人听说过 5)广泛应用(例如集装箱在码头工人注册表中)
例如从Nginx Dockerfile:
TL;博士:他们GPG密钥指纹作为Dockerfile env变量:
ENV GPG_KEYS B0F4253373F8F6F510D42178520A9993A1C052F8
他们后来下载键和用它来验证nginx tarball下载:
& & gpg——keyserverha.pool.sks-keyservers.net——recv-keys \“GPG_KEYS美元” & & gpg——批量验证nginx.tar.gz。asc nginx.tar。广州\
所以他们肯定是想做正确的事(我需要确认这个会错误出在构建如果键不能使用/错误的关键是为asc签名是坏的)假设它能够正常工作(一个错误触发码头工人建立中止)然后显然是安全的,不需要反暴力极端主义。
但大多数容器没有做这样的事情,甚至没有关闭,我想我们需要开始分配CVE看起来像很多流行的集装箱Dockerfiles很没有安全感,他们如何构建软件。
- - - |
- 跟进:
- 再保险:定义什么是CVE值得下载/安装和容器
- 来自:Kurt Seifried < kseifried@redhat.com >
- 再保险:定义什么是CVE值得下载/安装和容器
- 来自:帕默< pmeunier@cerias.purdue.edu >
- 再保险:定义什么是CVE值得下载/安装和容器
- 引用:
- 定义什么是CVE值得下载/安装和容器
- 来自:Kurt Seifried < kseifried@redhat.com >
- 定义什么是CVE值得下载/安装和容器
- 上一页的日期:CVE的华硕
- 下一个按日期:再保险:CVE华硕
- 前线程:定义什么是CVE值得下载/安装和容器
- 下一个线程:再保险:定义什么是CVE值得下载/安装和容器
- 指数(es):
