再保险:CVE计算文件的草稿

来莫尼耶:帕斯卡<pmeunier@cerias.purdue.edu>
主题再保险:CVE计算文件的草稿
从:Kurt Seifried <kseifried@redhat.com>
日期-0600年:星期四,2016年8月25日10:10:31
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.3) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = redhat.com, mitre.org;dkim = none(消息没有签署)header.d =没有;
Cc:“棺材,克里斯" <ccoffin@mitre.org>,cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
交货日期:2016年8月26日07:49:23星期五
在回复:<a3d24c50 - 9089 - 461 - f - 3 - ccd - 8847 f1b98ab9@cerias.purdue.edu>
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:< DM2PR09MB03834392794BA8193D08D9B3A10D0@DM2PR09MB0383.namprd09.prod.outlook.com > <MWHPR09MB148530E101F21770B9435687A1EA0@MWHPR09MB1485.namprd09.prod.outlook.com> <卡诺= Ty3mY3jaqageLisSnwnCxSb_38PHjEZA0beJ_add2BYgfg@mail.gmail.com > <a3d24c50 - 9089 - 461 - f - 3 - ccd - 8847 f1b98ab9@cerias.purdue.edu>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
Spamdiagnosticoutput:1:2

在星期四,2016年8月25日上午上午10:02,帕斯卡莫尼耶<pmeunier@cerias.purdue.edu>写道:

在08/24/2016 04:54点,Kurt Seifried写道:

一些反馈:

上下文中的一个漏洞CVE程序,可以是代码
利用,导致负面影响机密性、完整性、
和可用性,需要一个代码更改来减轻或地址。

一些vulns内部协议和唯一的代码更改
“修复”是完全删除代码/功能。我们可以添加
“通常需要”呢?我担心的交集
软件/ API vulns(更多的实例将变得越来越普遍
这个,人们会开始寻找)。

确实有cf发出协议(例如,对SSLv3 cve - 2014 - 3566),甚至不是代码本身。然而,我认为“一般”将使定义不切实际的决定是否一个特定的实例是一个漏洞。我建议:

“CVE漏洞在程序中,是由代码表示,可以利用,导致负面影响保密,完整,或可用性,需要编码的变化,规范改变或规范弃用减轻或地址。”

你是更好的!

INC4:我们能更好的定义公共/私人吗?例如,如果一个医疗设备
制造商计划使用反暴力极端主义的问题,然后他们会通知用户
直接的?同上航空/ SCADA /等。

我不确定我理解你想要发生的事情。有限的扩散?作为一名顾客,我获得注意指CVE混淆我不能在公开网站上查找,如果这就是你的意思。如果你是被禁止的问题,不是CVE这样做了吗?

所以Red Hat 1000 + cf我们分配和不横切数据库中。这桥已经被打破。还我假设CVE的可以在供应商数据库/网站,例如:

http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2002 - 2438

我们有有限的页面信息(主要是因为我们不影响=)

https://access.redhat.com/security/cve/cve - 2002 - 2438

反暴力极端主义的斜方或任何公共数据库当然是不错的,特别是对于高调的问题,但我不会让它成为需求。

INC5:“CVE customer-controlled或id被分配到产品
customer-installable。“前提被锁定的解决方案
下来吗?我知道很多医疗设备、高端制造、等您购买它,
但是你不要碰它,公司技术服务。同样为其他
管制物品,如电梯(合约地大多数电梯维护
涉及到“如果任何人但我们触摸它,你的保修是完全空白”)。

我猜INC5的目的是确定客户可以补丁或降低脆弱性。然而,我认为这是同样有用能跟踪管理解决方案的提供者是否有应用补丁或者减轻漏洞,所以我赞成cf的广泛使用。这个不管它是一个开源的解决方案适用于有人管理代表你或其他固件或一个完全封闭的解决方案。

完全正确。

帕斯卡

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com

跟进:
- 再保险:CVE计算文件的草稿
  - 来自:帕默< pmeunier@cerias.purdue.edu >

引用:
- 再保险:CVE计算文件的草稿
  - 来自:“棺材里,克里斯”< ccoffin@mitre.org >
- 再保险:CVE计算文件的草稿
  - 来自:Kurt Seifried < kseifried@redhat.com >
- 再保险:CVE计算文件的草稿
  - 来自:帕默< pmeunier@cerias.purdue.edu >

上一页的日期:再保险:CVE计算文件的草稿
下一个按日期:再保险:CVE计算文件的草稿
前线程:再保险:CVE计算文件的草稿
下一个线程:再保险:CVE计算文件的草稿
指数(es):
- 日期
- 线程