再保险:Multipel CNAs禁运下软件和协调问题

在星期四,2018年2月15日,Kurt Seifried写道::可能是因为他一个CSV文件发邮件给我,我说……我不明白……2018 - 6356是斜接我所信仰的?”他发邮件给你一个CSV文件”有两个(?)vulns需要作业,和你/ DWF这两个作业吗?你的回复不能解释为什么这里有混合CNA作业,和什么层次的协调,如果有的话,是参与其中。从斜方为什么詹金斯请求一个ID,然后两个DWF CNA的?CNA过程中,似乎是一个破裂。道歉,我只是觉得这一系列的作业建议有两个区域之间的协调水平时,可能没有。布莱恩:星期四,2月15日,2018年在剩点,耶利哥< jericho@attrition.org >写道:::>很多想法,但是也许今天有趣的作业:>詹金斯有助于讨论吗?如何做一个詹金斯披露:>从两个必须得到三个cf吗? I assume there had to be coordination in : > advance of this? : > : > CVE-2018-1000067 Jenkins LTS SECURITY-506 : > CVE-2018-1000068 Jenkins LTS SECURITY-717 : > CVE-2018-6356 Jenkins LTS SECURITY-705 : > : > The Jenkins advisory, as of this email, only includes 2018-6356 and two : > instances of "CVE pending". : > : > .b : > : > On Thu, 15 Feb 2018, Pascal Meunier wrote: : > : > : Another approach might be pre-agreements or other criteria between CNAs : > that, in this : > : type of situation, resolve the overlapping scopes ahead of time. For : > example, CNAs : > : could agree to monitor non-overlapping lists, or stake a unique claim to : > the : > : responsibility for monitoring a certain source or type of source. : > : : > : Pascal : > : : > : On Thu, 2018-02-15 at 16:36 -0700, Kurt Seifried wrote: : > : > So we now have a failure case, an embargoed set of issues were posted : > to : > : > the distros list, I was not explicitly asked to assign CVE's, but did, : > and : > : > it turns out CERT also assigned CVEs. CERT published first, so I : > reject'ed : > : > mine (https://github.com/CVEProject/cvelist/pull/314)。:> > >::>这会带来的问题我们怎么做当记者有:>问题(s): >: >,不显式地问一个CNA cf,但是多个CNA看到:>,>::>,想为它分配一个CVE因为问题将大大:>:>受益于cf吗?大多数作用域不重叠,但有一个明显的:>例外,::> >“开源”。:> > >::>所以想法/意见吗?我们应该只分配一个CVE如果问,然后:>如果没有:>:>要求默认某种通知协议吗?我们应该简单的:> >:>这样的“第一发布”规则对公共问题?其他选项吗?:> > > > >::::>::::,::Kurt Seifried——红帽产品安全——云:PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993:红帽产品安全联系:secalert@redhat.com: