再保险:即将到来的英特尔的问题

耶利哥在1/3/18结束点,写道:
> 结婚,3 2018年1月,肯特写道:Landfield:关于第二个问题,你有打我的疼痛点?我答:厂商,英特尔是一个供应商,RedHat是一个供应商。我不希望任何人:创建cf为我公司吗?年代问题除了我PSIRT团队。供应商:需要第一个机会,只有在他们正式:表示他们不会的问题在明确和适当的CVE:精确的方式,应该有人妨碍他们的提醒:通过建立客户咨询过程。没有:“先授权CVE CNAs。时期。首先,我完全理解你的意思,很感激。第二,魔鬼的代言人:第一个24小时的新闻报道有同样的钻头;万博下载包“英特尔”没有回应我们的置评请求。有线文章发表大约半个小时前我看到首次引用某人从英特尔。 Meanwhile, Apple already patched via workaround in macOS over a month ago, Linux patches have been public for some time, etc. A single article I have seen has given this vuln a name (Chipzilla), meaning the last 24+ hours this has been "the Intel bug" to some, "the Linux Kernel vulnerability" to others. Since CVE was designed in part to give a single unique identifier, it's worth discussing if high-profile issues w/o public vendor / CNA reference should use a different assignment process.
>     
很好的讨论,但是这是一个棘手的案子。似乎有多个攻击,一个或多个漏洞,和不同的影响取决于所涉及的硬件。是的,英特尔(或任何其他供应商)应该分配/填充CVE id特定于供应商的问题。目前尚不清楚这是一个(或更多)Intel-specific问题。我目前的理解是,有一个“漏洞”(有些x86 / x64架构在用户空间中映射内核地址空间),各种各样的侧信道攻击,影响是相当糟糕一些英特尔cpu(读内核内存)比其他cpu(绕过KASLR)。首先,什么是脆弱性(或漏洞),保证CVE ID的事情,其次负责分配ID是谁?我立刻不知道真正的指导丛书的问题。DWF、横切或协调员CERT / CC吗?——艺术