再保险:硬件/软件vulns - gpu的一个例子

在这种情况下我们要添加一个约束,如:“安全风险产生的物理硬件组件的失败不是CVE的范围内。”-----Original Message----- From: Pascal Meunier [mailto: pmeunier@cerias.purdue.edu发送:星期四,2017年7月13日11:04是:米勒,托马斯< Thomas.Millar@hq.dhs.gov >;马尼恩肯特Landfield < bitwatcher@gmail.com > Cc:艺术< amanion@cert.org >;Kurt Seifried < kurt@seifried.org >;cve-editorial-board-list < cve-editorial-board-list@LISTS.MITRE。ORG >主题:Re:硬件/软件的一个例子vulns gpu CVE条目,会与计算机科学或逻辑嵌入在硬件连接的大门,就会不和谐。我记得,最初的隐含的目的和范围的CVE漏洞,可以在计算机科学领域的理解。我确定故障由于设备不符合其温度评级或营销的水或冲击电阻会引起某种漏洞,但我建议别人跟踪它们。关注做某事是很重要的,让我们不要承担太多。我相信CVE工作应该关注漏洞的修复是在计算机科学领域内,而不是在固定的改变一些机械住房属性或半导体制造过程。在真理+ 0000帕斯卡在星期四,2017-07-13,米勒,托马斯写道:>所以答案是,如果我们想要更大的覆盖>真正>硬件漏洞,我们需要确切地找出包括> >需要计数规则定义,然后覆盖>更新文档。 I think Kurt’s point about tolerances > inherited from product standards and/or marketing pronouncements is a > reasonable starting point. > > From: Kent Landfield [mailto: bitwatcher@gmail.com]>发送:星期四,2017年7月13日,愚人节是>:米勒,托马斯< Thomas.Millar@hq.dhs.gov > > Cc:艺术·马尼恩< amanion@cert.org >;Kurt Seifried < kurt@seifried.org >;> cve-editorial-board-list < cve-editorial-board-list@LISTS.MITRE。ORG > >主题:Re:硬件/软件的一个例子vulns - gpu > >一个漏洞的上下文中定义的CVE程序>计数规则,列在附录c。一般来说,一个漏洞> >定义为一个弱点在计算逻辑(例如,代码)发现> >软件和硬件组件,当利用,导致保密>负面影响,完整性和可用性。>缓解的漏洞在这种情况下通常涉及>修改代码,但也可能包括规范变化甚至>规范不支持(例如,删除影响协议或>功能全部)。" >一个漏洞是一个缺陷或设计监督软件>可以通过攻击者获得意外访问系统或网络>。CVE认为缺陷漏洞,如果它允许攻击者> >使用违反一个合理的安全策略系统>(不包括完全“开放”的安全策略>所有用户的信任,或者没有考虑风险>系统)。> >一个漏洞的CVE节目由>代码>表示,可以利用,导致负面影响>机密性、完整性和可用性,并且需要一个>编码改变,规范的变化,或弃用规范>缓解或解决。> > >把iPhone不会覆盖的多个版本>脆弱性的定义我们使用。> > >也许我们想要一个定义....肯特Landfield > + 1.817.637.8026 > > > >在7月13日,2017年,凌晨9:08,米勒,托马斯< Thomas.Millar@hq.dhs.gov > <mailto: Thomas.Millar@hq.dhs.gov> >中写道:>硬件漏洞的约束范围是什么?删除> iOS设备在大多数液体会导致一个DoS条件。> > > >汤姆米勒,us - cert > >从+ 1-202-631-1915 >https://www.us-cert.gov> > ________________________________ >从:owner-cve-editorial-board-list@lists.mitre.org <mailto: owner-cve马尼恩代表艺术> -editorial-board-list@lists.mitre.org > >发送:周四,7月13日,2017年1:58:22点>:Kurt Seifried;cve-editorial-board-list >主题:Re:硬件/软件的一个例子vulns - gpu在> 2017-07-10 00:04,Kurt Seifried写道:> >https://www.aimlab.org/haochen/papers/npc16-overflow.pdf> > > >我真的觉得CVE需要考虑更多、更好的硬件覆盖。> >我只脱脂的前几页,但得到的印象,纸>说“GPU体系结构是不同的,现代的cpu,尤其是>内存布局/保护”我不清楚>负责任何的弱点所在。它是不可能编写memory-corruption-proof代码> gpu吗?> >无论如何,我没有问题,发行CVE IDs对硬件>漏洞。我只是声称他们是罕见的,通常>涉及底层软件。> >——艺术