再保险:CVE托管服务

在这种情况下你谈论事件id,而不是CVE id,因为第二和第三的核心漏洞作为第一个可能相同,只是严重修补或严重保护。此外,两个类似的发现在同一时间可以是不同的漏洞所以你需要2 cf正确。还是我们不关心了,我记得看到一个为多个定义模糊的CVE漏洞?对于每一个事件,没有远程黑盒子内能见度提供服务,我们几乎不知道漏洞,和我们不能ID。我们只能ID的结果的问题。虽然给事件id和发现是非常有用的,这是超出了CVE的范围。就像我们有一个锤(CVE id),现在所有的东西都看起来像是钉子。我建议创建其他识别事件,报告或发现id。帕斯卡在星期五,2017-02-24在-0700年11,Kurt Seifried写道:>例如有人发现另一个内存CloudFlare披露,>然后>另一个人发现第三个。我们谈论的A、B或C ? > CLoudBleed 1? The thing after CloudBleed? If they had CVE's or an > equivalent identifier it would be much easier. Especially as I have > to now > interact with other vendors (Hey Atlassian, do you deliver JIRA via > CloudFlare at all and are you affected by CloudBleed?). > > Especially as the data leaked from CloudBleed is now in all sorts of > data > caches around the internet (search providers, maybe archive.org, > etc.), so > we'll need to talk about this off and on for potentially the next few > years. > > On Fri, Feb 24, 2017 at 9:03 AM, Millar, Thomas >  > wrote: > > > How do I use a CVE for a service vuln to check if my environment was > > affected and if so, that my ops have applied the proper remedies? > > > > > > > > Tom Millar, US-CERT > > > > Sent from +1-202-631-1915 <(202)%20631-1915> > >https://www.us-cert.gov> > > > - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - > > *:* owner-cve-editorial-board-list@lists.mitre.org Kurt > > Seifried代表> > > > *发送:*周五,2月24日2017 3:44:39点> > *:*马尼恩艺术> > * Cc: *耶利哥;展位,哈罗德(美联储);cve-editorial-board-list > > *主题:* Re: CVE托管服务> > > >所以啊我就离开这个例子:> > > >https://www.google.ca/search?q=cloudflare + cloudbleed> > > >我知道例如CloudSecurityAlliance方面我现在需要> >强制重置所有密码我们所有的网站,看看> > > >第三方我们做身份验证(例如FaceBook、Linkedin)是否影响> >(不,有很多我们能做的除了通知> >人)。> > > >在星期四,2月23日,2017年在36点,马尼恩艺术< amanion@cert.org > > >中写道:> > > > > 2017-02-23 19:05,耶利哥写道:> > > > > > >https://bugs.chromium.org/p/project-zero/issues/detail?id=1139> > > > > > > >哈罗德,你如何写一个CVE-ish描述,在> > >中> > > >的CVE特定站点问题?服务和信息> > > > > > > >是最简单的部分披露。然后呢?你还提到一些> > > > > > > >服务使用Cloudflare吗?一些企业可能知道,> > > >个人不(例如:> > > > 1密码是托管在它)。你放下了什么日期范围> > > > ?> > > > > > >你知道修复日期,开始日期。这个问题可以追溯到> > > > > > > >让这些条目有用公司试图确定> > > >风险。> > > > > >不回答你的问题,但是:> > > > > >这个问题应该得到CVE ID世界可以谈论它,> > > > > >有信心他们正在谈论相同的“它”。The description > >> might > >> be tricky, but the description is primarily to > >> catalog/de-duplicate, not > >> to help assess risk. > >> > >> CVE is lower layer of infrastructure. Someone else (NVD, CVSS, > >> RBS, > >> CERT, a CloudFlare customer) can add to the severity/risk > >> assessment. > >> > >> - Art > >> > > > > > > > > -- > > > > Kurt Seifried -- Red Hat -- Product Security -- Cloud > > PGP A90B F995 7350 148F 66BF 7554 160D 4553 5E26 7993 > > Red Hat Product Security contact: secalert@redhat.com > > > > >