Multipel CNAs禁运下软件和协调问题

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题以下软件和协调问题:Multipel CNAs禁运
从:Kurt Seifried <kseifried@redhat.com>
日期:2018年2月15日,星期四16:36:16 -0700
Authentication-results:防晒系数=没有(发送者的IP 192.52.194.235) smtp.mailfrom = LISTS.MITRE.ORG;imc.mitre.org;dkim = none(消息没有签署)header.d =没有;imc.mitre.org;dmarc =失败行动=没有header.from = redhat.com;
交货日期:2018年2月16日07:52:37星期五
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:5952 c28dcc454f0789fb433d26f936ef
Spamdiagnosticoutput:1:2

所以我们现在有了一个失败的情况下,禁止或限制的问题发布到发行版列表,我没有明确要求分配CVE的,但,事实证明证书也分配cf。CERT发表第一,所以我“拒绝”(https://github.com/CVEProject/cvelist/pull/314)。

这会带来的问题我们怎么做当记者一个问题(s)和不显式地问CNA cf,但多个CNA看到它,并想为它分配一个CVE因为将大大受益于cf的问题?大多数作用域不重叠,一个明显的例外,“开源”。

所以想法/意见吗?我们应该只分配一个CVE如果问,然后如果不要求默认某种通知协议?我们只是应该与“第一发布”规则对公共问题吗?其他选项吗?

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com

跟进:
- 再保险:Multipel CNAs禁运下软件和协调问题
  - 来自:帕默< pmeunier@cerias.purdue.edu >
- 再保险:Multipel CNAs禁运下软件和协调问题
  - 来自:马尼恩艺术< amanion@cert.org >