(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
再保险:[CVENEW]新CVE罐:2017/04/23晚7:00;数= 1
- 来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 主题再保险:[CVENEW]新CVE罐:2017/04/23晚7:00;数= 1
- 从:“Adinolfi, Daniel R " <dadinolfi@mitre.org>
- 日期:2017年4月25日,星期二17:42:13 + 0000
- 接收语言:en - us
- Authentication-results:防晒系数=没有(发送者的IP 129.83.29.3) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = mitre.org;
- Cc:常见的漏洞和风险敞口<cve@mitre.org>
- 交货日期:2017年4月25日14:38:37星期二
- 在回复:<alpine.LNX.2.00.1704240014520.32256@forced.attrition.org>
- 名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
- List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
- List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
- List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
- 引用:< 58 fd32ea.me7nmetkmixm4lzw % cve@mitre.org > <alpine.LNX.2.00.1704240014520.32256@forced.attrition.org>
- 发送方:<owner-cve-editorial-board-list@lists.mitre.org>
- Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
- Spamdiagnosticoutput:1:2
- Thread-index:AQHSvLyD97rCZMO6p0GRjG5wN4W72KHWGgIA
- Thread-topic(CVENEW):新CVE罐:2017/04/23晚7:00;数= 1
- 用户代理:Microsoft-MacOutlook / f.21.0.170409
|
问候,
作为我们工作的一部分项目# 1在您的消息,我们注意到一个低优先级的问题在sudo,提到的 < http://marc.info/?l = oss-security&m = 142376206707936易名= 2 >,从未发表在cve.mitre.org网站。这是发表在过去的几天里。在工作在这个CVE条目,我们意识到一个ID (CVE - 2014 - 9681)也分配和它有相同的marc.info URL。
然而,这被广泛承认在用户社区是一个问题,没有交叉特权边界,例如,
< https://bugzilla.novell.com/show_bug.cgi?id=919737 > < https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=772706 > < https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=778341 >
似乎没有重要的价值在2015年重开一个oss-security线程因为似乎没有任何人认为最初的CVE ID应该为procmail行为存在。
几天前有类似的不良信息 < https://security tracker.debian.org/tracker/cve - 2014 - 9681 >但时已经被移除 < https://security tracker.debian.org/tracker/cve - 2014 - 9681 >更新。
它没有惯例包括引用url的CVE id“拒绝”状态。因此,尽管我们可以以拒绝回应质疑CVE ID状态,我们没有一个资源提前在网上回答问题。我们可以考虑添加这个新的数据以后,我们会想与董事会讨论。
最初的理由忽略参考non-vulnerability CVE id是为了避免突出虚假信息,例如,有人可以虚假声称在一篇博客文章中,这篇博文将在web搜索结果,因为有很高的排名从cve.mitre.org站点的链接。我们现在意识到我们可以解决,但机制来解决,过去并不总是可用的。
(一些背景,我们选择了推迟CVE - 2014 - 9680,因为我们不清楚为什么CVE - 2014 - 9680是一个有效的CVE ID当CVE - 2014 - 9681。因为我们现在有一个更好的理解,我们更新的条目,这样cve - 2014 - 9680发表但cve - 2014 - 9681是拒绝。
关于机器人。txt,去年2月我们做了更改robots . txt。目前,只有禁止以下: 用户代理:* 不允许:/ /图片/ 不允许:/ /包括/兼容 不允许:/ /图片/兼容 不允许:/ /问卷/图片/兼容 不允许:/ /问卷/证书/兼容 不允许:/ cve /图片/ 不允许:/ /新闻/图万博下载包像 不允许:/ /图片 不允许:/ / 不允许:/ css /
(看来后修改并未公布在黑板上列出的建议。我们很抱歉没有跟进。)
你知道档案网站,他们仍无法存档我们的网站吗?如果是这样的话,我们可以联系他们并确定问题是什么。
请让我们知道如果你有任何其他问题。
谢谢。
丹,CVE团队
来自:< jericho@attrition.org > < owner-cve-editorial-board-list@lists.mitre.org >代表耶利哥
主教法冠,
这并不工作CVE的大局。
2017年4月23日,太阳cve@mitre.org写道:
:= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = :名字:cve - 2014 - 9681 :状态:候选人 最终决定: :阶段性裁决: 修改: :建议: :分配:20150212 类别: : :* *拒绝* * : :不要使用这个候选人数量。ConsultIDs:没有。原因:这 由其CNA:候选人被撤回。进一步的调查显示, :它不是一个安全问题。注:没有。
2015-02-12,斜接这个任务:
:Procmail就是不计后果地白名单TZ另一个程序
使用cve - 2014 - 9681 procmail中的类似问题。
现在,跳转到今天,从大概预留的条目 拒绝。看着NVD我们看到历史日期比斜方提供:
最初的发布日期: 04/23/2017 最后修改: 04/23/2017
因为档案网站通过机器人横切一直阻塞。txt, 长大在列表中,我们不能证明这是保留 昨天和今天拒绝了,但它是很清楚的。
所以…这使得两个明显的问题:
1。这是2014年的一项任务,在oss-sec,公开披露。然而, ID是保留这么长时间。为什么?
2。今晚,突然拒绝了ID为“不是一个安全问题”, 从斜方没有额外的信息,没有回复旧的线程,也没有 “不是问题”决定的出处。为什么?
我完全理解由于过去的横切问题# 1。但是今天,突然 改变没有信息没有意义,似乎并不 合适的。
我想获得更多的信息,不仅仅是cve - 2014 - 9681, 但一般过程,导致了这一决定。
谢谢你!
布莱恩
|
- 引用:
- 再保险:[CVENEW]新CVE罐:2017/04/23晚7:00;数= 1
- 来自:耶利哥< jericho@attrition.org >
- 再保险:[CVENEW]新CVE罐:2017/04/23晚7:00;数= 1
- 上一页的日期:再保险(EXT): RE:赛门铁克/电脑CVE引用问题
- 下一个按日期:Re: Mozilla CVE分配不合理,不符合CNA规则
- 前线程:再保险:[CVENEW]新CVE罐:2017/04/23晚7:00;数= 1
- 下一个线程:再保险:从4月17日的会议笔记
- 指数(es):
