再保险:CNA规则公告

来:“梦露,布鲁斯" <bruce.monroe@intel.com>
主题公告:RE: CNA规则
从耶利哥:<jericho@attrition.org>
日期:星期一,2016年10月10日12:07:52 -0500
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = attrition.org, mitre.org;dkim = none(消息没有签署)header.d =没有;
Cc:cve-cna-list <cve-cna-list@lists.mitre.org>,cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
交货日期:2016年10月10日15:57:07星期一
重要性:高
在回复:< C3D94D29887442488296AD0EE95626B356745FD7@FMSMSX113.amr.corp.intel.com >
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:<MWHPR09MB1485225620B9A4E94B589A85A1C60@MWHPR09MB1485.namprd09.prod.outlook.com> <alpine.LNX.2.00.1610071348180.22653@forced.attrition.org21 > < d6a5ec-f1ab-cc13-d159-4fef3991bbca@juniper.net > <alpine.LNX.2.00.1610071921490.22653@forced.attrition.org> < aa36938b-cd80-a602-ec4c-8ad9633298ee@juniper.net > <CY4PR01MB22301017E8B70A8071ADB5E7F1D90@CY4PR01MB2230.prod.exchangelabs.com> <3 fda0275 - 3555 - 49 - d6 - b940 - 90 a07dddf085@lp3.com> <alpine.LNX.2.00.1610091505350.22653@forced.attrition.org> < e8cbc4d2 - 62 - b3 - c492 - 1 - c7e f1fd1a626ccb@juniper.net > <alpine.LNX.2.00.1610092105040.22653@forced.attrition.org> < d489c4fd fb9b - 1 - e65 - 1095 b98049a4eace@juniper.net > <alpine.LNX.2.00.1610092307520.22653@forced.attrition.org> < C3D94D29887442488296AD0EE95626B356745FD7@FMSMSX113.amr.corp.intel.com >
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
Spamdiagnosticoutput:1:2
用户代理:高山2.00 (LNX 1167 2008-08-23)

在星期一,2016年10月10日,梦露,布鲁斯写道::这是一个很好的例子,我们就遇到了内部。如何:对非挂牌服务路径?::https://web.nvd.nist.gov/view/vuln/search-results?query=unquoted +搜索+ path&search_type = all&cves =::正如你所看到的从供应商分配他们的搜索结果:自己的。我们最近发现了一个内部做同样的的决定:但这是有效相同的漏洞重复很多:软件。更因为大多数非上市搜索路径的特权升级问题不是一个弱点。通常他们需要某种形式的管理访问执行“攻击”,他们并不是真正跨越特权边界。:挑战:::——人们分配CVE的必须分配另一个CVE之前。不确定会发生……斜方通常是好这样做,但他们被限制,因为他们看不到作业区域,还没有公开。此外,如果他们是在监视CNA的披露,他们可能欺骗分配由于各种各样的竞态条件。:-清单最终会成长是巨大的,我希望这将是:挖掘有点痛…这个目前有3页的cf:,)VulnDB有61项“非上市搜索路径”的标题,没有CVE 34。 Based on the CVSS scores, only 1 of them was considered valid. : Agree we should be consistent in our approach, if we could come up with : a simple, solid, easily repeatable way to reference a master CVE and : pile on with "like" issues I'd be in favor of that approach, as long as : it could be done without losing visibility of each sub-entry. The 'easiest' way (said externally, knowing it is a lot more work for MITRE) is to reference the other CVEs in the entry as someone previous mentioned. They already do it for duplicate assignments (e.g. REJECTED see CVE-1234-5678". They could carry this on as "MASTER see IDs 1,2,3,4,5 for similar issues" in better language. Brian

引用:
- CNA规则声明
  - 来自:“棺材里,克里斯”< ccoffin@mitre.org >
- 再保险:CNA规则公告
  - 来自:耶利哥< jericho@attrition.org >
- 再保险:CNA规则公告
  - 来自:耶利哥< jericho@attrition.org >
- 再保险:CNA规则公告
  - 来自:“威廉姆斯,肯”< Ken.Williams@ca.com >
- 再保险:CNA规则公告
  - 来自:斯科特Lawler < scott.lawler@lp3.com >
- 再保险:CNA规则公告
  - 来自:耶利哥< jericho@attrition.org >
- 再保险:CNA规则公告
  - 来自:耶利哥< jericho@attrition.org >
- 再保险:CNA规则公告
  - 来自:耶利哥< jericho@attrition.org >

上一页的日期:再保险:CNA规则公告
下一个按日期:再保险:CNA规则公告
前线程:再保险:CNA规则公告
下一个线程:再保险:CNA规则公告
指数(es):
- 日期
- 线程