RE: CVE将拒绝一群未使用的CVE id

我们能够确认拒绝cf NVD将被忽略。由于灵活的推动这一天。

问候,

戴夫

来自:棺材,克里斯(mailto: ccoffin@mitre.org)
发送:星期二,2017年5月9日34点
:棺材,克里斯< ccoffin@mitre.org >;Waltermire David a .(美联储)< david.waltermire@nist.gov >;Adinolfi Daniel R < dadinolfi@mitre.org >;cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:RE: CVE将拒绝一群未使用的CVE id

所有人,

有一个快速地和戴夫在电话交谈。他正在与NVD团队来解决任何可能对影响此更新NVD列表。我们正在更新一天后周四11^th。

问候,

克里斯

来自:owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表棺材,克里斯
发送:星期二,2017年5月9日22点
:Waltermire David a .(美联储)<david.waltermire@nist.gov>;Adinolfi, Daniel R <dadinolfi@mitre.org>;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:RE: CVE将拒绝一群未使用的CVE id

我们通常试图限制块分配给有意义的数字根据以往的使用。所以我们不会分配一百万CNA除非我们认为年内他们将使用。

这确实提高DWF CVE id的问题和如何处理这些。然而,在这一点上我们没有将整个DWF CVE ID空间标记为保留。这可能会在未来的董事会会议,讨论应该如何处理DWF CVE id。

记住,这个清理所有的项目(1999 - 2016)。这仅仅是第一步在处理的过程中保留CVE id。我们完全打算继续全面清理填充CVE id列为保留在主列表中但有信息在公共领域。

克里斯

来自:Waltermire David a .(美联储)[mailto: david.waltermire@nist.gov]
发送:星期二,2017年5月9日4:08点
:棺材,克里斯<ccoffin@mitre.org>;Adinolfi, Daniel R <dadinolfi@mitre.org>;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:Re: CVE将拒绝一群未使用的CVE id

我担心的是在发布一些新的CVE条目只是为了纪念他们拒绝。说CNA得到分配一百万id 2017块。他们使用第一个100 k。2018年,我们为剩下的900 k将它们标记为创建条目拒绝吗?

问候,

戴夫

---

2017年5月:09年15:04,“棺材,克里斯" <ccoffin@mitre.org>写道:

戴夫,

我们只是简单地将所有以前未使用的CVE id标记为拒绝。这些CVE id必须告诉我们不分配,未使用的。将项目标记为拒绝相当常规,尽管在这种情况下,我们正在采取一个更大的更新。是你关心的特定数量的拒绝,还是更多关于这一事实可能会有新的cf(即。non-REJECTs)混合在一群拒绝吗?

请注意,这仅影响有限分布CVENEW邮件列表。CVENEW邮件列表一直拒绝上市。CVENew Twitter提要目前并不拒绝列表。

克里斯

来自:owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Waltermire David a .(美联储)
发送:星期二,2017年5月9日下午1时
:Adinolfi, Daniel R <dadinolfi@mitre.org>;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:RE: CVE将拒绝一群未使用的CVE id

这将导致创建一堆新的“拒绝”CVE CVE数据feed中的条目吗?

如果是这样,我不认为这个特定的方法是理想的或有效的。如果我理解正确,提要将散落着一堆“拒绝”条目。甚至有可能,拒绝条目的数量将超过实际使用CVE条目。

董事会已同意,拒绝分享信息和未使用的部分地址空间是必要的,我不记得任何决定了如何做到这一点的。如果决定了,可能有一些混乱这是如何进行的。如果我理解正确,我相信董事会应该讨论这个提出技术解决方案的细节之前推进使这些变化。

问候,

戴夫

来自:owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Adinolfi, Daniel R
发送:星期二,2017年5月9日19点
:多个接收者<LISTSERV@LISTS.MITRE.ORG>
主题:CVE将拒绝一群未使用的CVE id

所有人,

帮助减少保留但不使用的CVE的CVE ID列表,CVE团队将始终表示拒绝CVE ID是之前未使用的CVE ID分配。CVE id影响包括那些从1999年到2016年。CVE消费者将看到3103保留CVE id列表成为一个更新5月10日拒绝了。

这些CVE条目将更新以下信息((年)被替换为四位数字):

“* *拒绝* *不使用这个候选人数量。ConsultIDs:没有。原因:CNA或

人要求这个没有将它与任何候选人

(年)期间的脆弱性。注:没有。”

CNAs每年有块的CVE id,和那些CVE id标记为“保留”CVE列表,直到他们被分配到一个脆弱和出版。CNAs通常不使用所有CVE id分配,导致许多保留CVE id,永远不会被分配给一个漏洞。

展望未来,在每一个新的日历,CVE团队将要求必须从他们的分配未使用的CVE id的列表。一旦我们有闲置的CVE id列表,我们将更新这些CVE id“拒绝”状态,希望使其清晰的CVE id并不代表未经宣布的漏洞。(更多细节的意义“拒绝”状态,请参阅<http://cve.mitre.org/about/faqs.html reject_signify_in_cve_id>)。

关于这个过程,如果有任何问题你可以联系CVE小组<https://cveform.mitre.org/>。

谢谢。

丹,CVE团队

_________________________

丹尼尔•Adinolfi CISSP

导致网络安全工程师,斜方公司manbetx客户端首页

CVE通信和CNA协调员

电子邮件:<dadinolfi@mitre.org>电话:781-271-5774