恶意软件的作业

到：CVE编辑委员会<cve-editorial-board-list@mitre.org>
主题：恶意软件的作业
从：Jericho <jericho@attrition.org>
日期：2018年8月13日星期一11:55：15 -0500（CDT）
身份验证重分：spf = none（发件人IP是192.52.194.235）smtp.mailfrom = dustrition.org;imc.mitre.org;dkim = test（已验证签名）header.d = mitre.org; imc.mitre.org;dmarc = none action = none header.from = waterition.org;
交货日期：8月13日星期一12:58:56 2018
DKIM签名：v = 1;A = RSA-SHA256;C =放松/放松；d = mitre.org;h =日期：从：到：主题：message-id：mime-version：content-type;s = selector1;BH = JFE3WLW+DQCYGEWDY7+C8OIBKEHTNATOTVB5L6HBR2W =;B = CXJJP3AXFYNUIIDDOI9SX94BY4BY74JSI0LK3E/5QIK6KOH5+HHL2VIUMIAMM7MJ0GYZVCKD6WEQCKDX3ZJLKF/P4
spamdiagnosticmetadata：NSPM
spamdiagnosticOutput：1：99
用户代理：Alpine 2.20（LNX 67 2015-01-07）

木板，

今年的CVE分配越来越多 恶意软件；特别是“恶意红宝石宝石”或“恶意NPM模块”。 它们有可能分为两个品种，并且可能会有所不同 取决于。第一个，最近是CVE-2018-3779：

主动支持Ruby Gem 5.2.0可以允许远程攻击者在系统上执行任意代码，该代码是由包含恶意的后门引起的。攻击者可以利用此漏洞在系统上执行任意代码。

如果这是合法的代码，则H1报告从H1报告中尚不清楚 被录制，通过分叉项目类似地命名为宝石，或者是宝石 以相似的名称分发（我怀疑）。“宝石的重复 官方的ActiveSupport（无连字符）代码，但添加了编译的扩展。”

第二种只是恶意模块，与 合法的模块，除了类似的名称与获得的手段 人们下载它。一个例子是CVE-2017-16044：

“ D3.js”是一个恶意模块，其意图是劫持环境变量。NPM未发布它。

这本质上是恶意软件，只是通过官方存储库来提供。 由于这并不代表软件中的漏洞，因此 我的理解是，这将不符合包容的标准 CVE。

Miter可以澄清这一政策吗？谢谢你，布莱恩

后续行动：
- 回复：恶意软件的作业
  - 从：kurt seifried
- 回复：恶意软件的作业
  - 从：Art Manion