再保险:cve - 2017 - 7269和过时的

我知道我们有Linux是10年的支持(EoL)和仍在使用,如果有一个缺陷具体(而不是新版本)我还是CVE如此至少人们意识到缺陷的存在。就像g.i.j oe说“知道是成功的一半”。

在星期四,2017年3月30日晚上,棺材,克里斯<ccoffin@mitre.org>写道:

我同意肯特的角度来看。

在这种特定情况下,联系了CNA发现者和接收数量。然而,他们被告知,不支持/过时的产品是CNA的范围之外。

>有哪些作业过时的规则(或unsupportedware) ?

肯特说过,这将是一个不错的董事会讨论和我们可以开车到一个特定的CNA规则,包括这种情况。有人不同意肯特的观点吗?

>供应商CNA负主要责任,如果有的话?

是的。我们应该给他们机会,重定向到他们如果他们存在。如果他们拒绝,那么下一个可用CNA可以联系。董事会讨论的一项,因为备份CNA我们怎么确认这个对话发生。


克里斯

- - - - - - - - - - -原始消息
来自:owner-cve-editorial-board -list@lists.mitre.org[mailto:owner-cve-editorial -board-list@lists.mitre.orgB]代表Landfield肯特
发送:星期四,2017年3月30日美
马尼恩:艺术<amanion@cert.org>;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:Re: cve - 2017 - 7269和过时的

>从我的角度来看…我想它是供应商CNA如果仍然存在。如果卖方拒绝或不再是业务,那么接下来就是去二级CNA如你的列表。

我希望供应商自己想问题,即使产品是终点。各界的关注,这种类型的确认供应商的一个“终点”的产品可能导致一些供应商的责任。过时将成为越来越多的新兴设备景观问题。谁拥有他们创建的问题?

这是一个伟大的谈话对董事会。

推荐- - - - - -
肯特Landfield
+ 1.817.637.8026

在3/30/17,52点,”owner-cve-editorial-board -list@lists.mitre.org马尼恩的艺术代表" <owner-cve-editorial-board -list@lists.mitre.org代表amanion@cert.org>写道:

世卫组织发布了cve - 2017 - 7269 (iis6 WebDAV脆弱性)?

http://cve.mitre.org/cgi-bin/cvename.cgi ? name = cve - 2017 - 7269

作业是什么过时的规则(或者unsupportedware) ?

是供应商CNA负主要责任,如果有的话?

接下来,它是一个更一般的CNA僧帽,DWF, CERT / CC, JPCERT / CC吗?


——艺术

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com