再保险:硬件/软件vulns - gpu的一个例子

来:肯特Landfield <bitwatcher@gmail.com>
主题再保险:硬件/软件vulns - gpu的一个例子
从:“米勒,托马斯" <Thomas.Millar@hq.dhs.gov>
日期:星期四,2017年7月13日14:17:49 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = hq.dhs.gov;
Cc马尼恩:艺术<amanion@cert.org>,Kurt Seifried <kurt@seifried.org>,cve-editorial-board-list <cve-editorial-board-list@LISTS.MITRE.ORG>
交货日期:2017年7月13日10:54:55星期四
在回复:<3 f480f42-6fe5-4bdc-9f40-0c21eed241a7@gmail.com>
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:<CABqVa38bvOMyz_NRtahUOFSsO_89NjYJ9C_nk2vvKrqMkFyzeQ@mail.gmail.com> <dedf2254 ddce - 9 - d87 e4b1 - 139016 fe0e5f@cert.org> < 7748 e4baec3b964387f3535351dcba1f011535d9b2@d2aseprea010 > <3 f480f42-6fe5-4bdc-9f40-0c21eed241a7@gmail.com>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:5952 c28dcc454f0789fb433d26f936ef
Spamdiagnosticoutput:1:2
Thread-index:AQHS + TLnuZkwuaSMYUaEsyXY6VYl4qJSABIA / / + / 2 f + AAE20AP / / w0RQ
Thread-topic:硬件/软件vulns - gpu的一个例子

答案是,如果我们想要更多的报道真实硬件漏洞,我们需要找出如何包括需要什么在计数规则定义,然后更新文档。我认为库尔特的观点关于公差从产品标准和/或营销继承声明是一个合理的起点。

来自:肯特Landfield (mailto: bitwatcher@gmail.com)
发送:星期四,2017年7月13日,愚人节
:米勒,托马斯< Thomas.Millar@hq.dhs.gov >
答:马尼恩艺术< amanion@cert.org >;Kurt Seifried < kurt@seifried.org >;cve-editorial-board-list < cve-editorial-board-list@LISTS.MITRE.ORG >
主题:再保险:硬件/软件vulns - gpu的一个例子

一个脆弱性CVE的程序的上下文中定义的计算规则,列在附录c。一般来说,一个漏洞的定义是一个弱点在计算逻辑(例如,代码)中发现的软件和硬件组件,当利用,导致保密造成负面影响,完整性和可用性。缓解在这种情况下通常涉及修改代码的漏洞,但也可能包括规范变化甚至规范不支持(例如,删除受影响的协议或功能全部)”。

一个脆弱性是软件的缺陷或设计监督可能被攻击者利用获得意想不到的访问系统或网络。CVE认为缺陷漏洞,如果攻击者可以用它来违反一个合理的安全策略的系统(不包括完全“开放”安全策略中,所有的用户都是可信的,或者没有考虑风险的系统)。

漏洞CVE的程序的上下文中所示的代码可以被不法分子利用,导致负面影响机密性、完整性,或可用性,需要编码的变化,规范的变化,规范弃用减轻或地址。

下降一个iPhone不会覆盖的多个版本的脆弱性的定义我们使用。

也许我们需要一个定义....

肯特Landfield

+ 1.817.637.8026

在2017年7月13日,上午9:08,米勒,托马斯<Thomas.Millar@hq.dhs.gov>写道:

范围是什么约束对硬件漏洞?把iOS设备在大多数液体会导致一个DoS条件。

us - cert汤姆•米勒

从+ 1-202-631-1915
https://www.us-cert.gov

来自:owner-cve-editorial-board-list@lists.mitre.org马尼恩的艺术代表
发送:星期四,2017年7月13日1:58:22点
:Kurt Seifried;cve-editorial-board-list
主题:再保险:硬件/软件vulns - gpu的一个例子

在2017-07-10 00:04 Kurt Seifried写道:
>https://www.aimlab.org/haochen/papers/npc16-overflow.pdf
>
>我真的觉得CVE需要考虑更多、更好的硬件覆盖。

我只有脱脂的前几页,但得到的印象,纸说“GPU的体系结构不同,现代的cpu,尤其是在内存布局/保护”,并不清楚我负责任何的弱点所在。它是不可能写gpu memory-corruption-proof代码?

无论如何,我没有发行CVE IDs对硬件漏洞问题。我只是声称他们是罕见的,通常涉及底层软件。

——艺术

跟进:
- 再保险:硬件/软件vulns - gpu的一个例子
  - 来自:“kseifried@redhat.com”< kseifried@redhat.com >
- 再保险:硬件/软件vulns - gpu的一个例子
  - 来自:帕默< pmeunier@cerias.purdue.edu >
- 再保险:硬件/软件vulns - gpu的一个例子
  - 来自:肯特Landfield < bitwatcher@gmail.com >

引用:
- 硬件/软件vulns - gpu的一个例子
  - 来自:Kurt Seifried < kurt@seifried.org >
- 再保险:硬件/软件vulns - gpu的一个例子
  - 来自:马尼恩艺术< amanion@cert.org >
- 再保险:硬件/软件vulns - gpu的一个例子
  - 来自:“米勒,托马斯。”< Thomas.Millar@hq.dhs.gov >
- 再保险:硬件/软件vulns - gpu的一个例子
  - 来自:肯特Landfield < bitwatcher@gmail.com >