(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
再保险:作业恶意软件
- 来:“pmeunier@cerias.purdue.edu" <pmeunier@cerias.purdue.edu>
- 主题再保险:作业恶意软件
- 从:“米勒,托马斯" <Thomas.Millar@hq.dhs.gov>
- 日期:星期二,2018年8月14日21:37:30 + 0000
- 接收语言:en - us
- Authentication-results:防晒系数=失败(发送者的IP 192.52.194.235) smtp.mailfrom = hq.dhs.gov;imc.mitre.org;dkim =通过(签名验证)header.d = hq.dhs.gov; imc.mitre.org;dmarc =通过行动=没有header.from = hq.dhs.gov;
- Cc:Kurt Seifried <kurt@seifried.org耶利哥>,<jericho@attrition.org>," CVE编辑委员会" <cve-editorial-board-list@mitre.org>
- 交货日期:2018年8月15日08:30:22结婚
- Dkim-signature:v = 1;一个= rsa-sha256;c = /放松放松;d = hq.dhs.gov;我= @hq.dhs.gov;q = dns /三种;s =选择;t = 1534282651;x = 1565818651;h =从:到:cc:主题:日期:问题:引用:回答:mime-version; bh=+/b0NotOAOw5pXRSdJNi/fJ6oSlfsf395DvmpMncxKA=; b=d/aOw9TmuaRU/LFjKjJsw7vq9mePFFk5eQffSKan65Ze30DYT8fcgqVd vwV3H+kPm/4H5+A03CRIvPKmSg8jlTF0XpC9gclOet5j2MyMraNHQAvr9 IPuyfcdOupG/jlxaA/U0fRGbh5eTWK+PdmqRZ95DT7PyQVAHElHIQ6Ig1 gGch57o0kk0XY2dCd9ceWT4w9PrJNqixSn6ebvv0CVluw+E/XZoxrbOt2 wAOSunBZRRIy/tx7smyBZm8pvqBTUWVax038AGy+RImhKuJJ2QcVciFYw 8UKzIRfn780hsOP8AxItBzq2a71lewoOa241h+eHwc7Xw6QSQiHc1LQqb A==;
- 在回复:<1534200887.29489.4.camel@cerias.purdue.edu>
- 引用:<alpine.LNX.2.20.1808131148090.14361@forced.attrition.org> < CABqVa38yfbG7dSZ3Fz = VVCaSFoCSUGma7vUF7ramQHqw6N3UiQ@mail.gmail.com > <alpine.LNX.2.20.1808131431070.14361@forced.attrition.org> < CABqVa3-HVfo_6jRbrTpOYB = Kp-QsvDUa8k5VOhGo8Aa805Wn = A@mail.gmail.com > <alpine.LNX.2.20.1808131444080.14361@forced.attrition.org> <1534190483.29489.1.camel@cerias.purdue.edu> < CABqVa3_rEN38bHm3EYCifnV9324jVt - = yd6xAVeQDD815Ep_bw@mail.gmail.com >、<1534200887.29489.4.camel@cerias.purdue.edu>
- Spamdiagnosticmetadata:NSPM
- Spamdiagnosticoutput:1:9 9
- Thread-index:AQHUMyaxm8C7z0z2cUW3l0XIRIaPtKS + U5oAgAABooCAAAF0gIAAAkOAgAAEn4CAAAKFAIAALe2AgAE5sLc =
- Thread-topic:作业恶意软件
| 人们要了解和解决这些问题在其环境没有CVE吗?换句话说,一个恶意软件指标做这项工作吗?如果是这样,那么它不需要在范围。
在星期一,2018-08-13在-0600年十四10,Kurt Seifried写道:
在星期一,2018年8月13日下午2:01,帕斯卡默<pmeunier@cerias.purdue.edu> 写道: 在星期一,2018-08-13在-0500年14:44,耶利哥写道: 在星期一,2018年8月13日,Kurt Seifried写道: :根据名称解析和名称空间是如何管理的 (或 :不是),它可以被攻击在某些情况下,通过自动化 :依存关系解析器。再一次,如果有恶意代码 :分布式和以前有一些具体的原因我们不想 告诉 :人,宁愿忽略它吗? 快速的答案是“是的”,体积。试图跟踪任何网站 分发恶意软件将是广泛的,至少可以说。 好点。我将通过欺骗更添加东西安装 的领域 社会工程软件工程。如果自动的依存关系 解析器可以 安装这些东西,然后我会说的漏洞所在 解析器和 我不关心每一个大量的东西 可能被安装。 例如: https://blog.npmjs.org/post/141577284765/kik-left-pad-and-npm 显然我可以注册一家名为JSON,劫持JSON NPM 和…接管世界。脆弱的代码,脆弱的业务流程, 等等,但我想一般我们覆盖了事情会更好 而不是无视外面的世界船舶的盒装软件 客户。 我担心一切看起来像钉子,因为我们有一把锤子。其他工具可以 更合适。 我们当然希望人们了解相关的安全问题 他们。然而,我 说恶意软件实例CVE的范围,而缺陷 让恶意软件 安装范围。恶意软件并不是缺陷。 这意味着任何开发人员可以争端,导致反暴力极端主义 “拒绝”,只需说“缓冲区溢出是故意, 一个隐藏的秘密”,这听起来很荒谬,但是一个逻辑的结果 一个决定。我敢肯定这不是我们想要的。 我要解决不同的恶意软件从第三方(“第二类型”在布莱恩的文章), 看起来你的关心在谈到依赖解析器。当一个供应商 将恶意软件集成到一个产品,供应商的意图是无关紧要的, 供应商没有得到重新定义的话。 我认为是否违反发生在代码的范围,相比 的合法目的代码,使它相关范围CVE与否。 钓鱼网站和电子邮件不应该cf。纯粹的恶意软件不应该cf。 然而,如果你买一个著名,被誉为AV产品,包含漏洞 可能会或可能不会在故意而且可能或不可能放在了吗 第三方的CVE的范围。如果你去一个策划应用商店 应该只包含可信赖的应用程序,并安装一个后来发现 恶意,CVE可以帮助和范围,除了一个顾问和行动的 供应商和馆长。 无论从uncurated库使用代码的智慧(npm或等),反暴力极端主义 出现适当的假设和代表性,脆弱的代码 一个合法的目的,如果漏洞代码缺陷的结果。的范围。 代码可以被拉不是漏洞的代码中 存储库。根据可用的库服务和产品不变 是一个高风险的产品;然而这并不总是显而易见的如果是在范围或范围 CVE。我倾向于认为,问题是在远程代码的可用性和完整性 范围的CVE只有在包含它的软件,使表示 安全处理这些问题。从业务流程漏洞或错误的 相信是真实的,但发生的侵犯范围的代码应该可能的 CVE范围,除非代码将处理他们。 我们之前的讨论主题,聪明的合同,cf中出现,因为范围 代码应该处理脆弱的场景,无论脆弱的版本 被播种,希望得到别人的丰富的使用它们,或者干脆的结果吗 错误。 帕斯卡 帕斯卡 |
- 跟进:
- 再保险:作业恶意软件
- 来自:马尼恩艺术< amanion@cert.org >
- 再保险:作业恶意软件
- 引用:
- 作业的恶意软件
- 来自:耶利哥< jericho@attrition.org >
- 再保险:作业恶意软件
- 来自:Kurt Seifried < kurt@seifried.org >
- 再保险:作业恶意软件
- 来自:耶利哥< jericho@attrition.org >
- 再保险:作业恶意软件
- 来自:Kurt Seifried < kurt@seifried.org >
- 再保险:作业恶意软件
- 来自:耶利哥< jericho@attrition.org >
- 再保险:作业恶意软件
- 来自:帕默< pmeunier@cerias.purdue.edu >
- 再保险:作业恶意软件
- 来自:Kurt Seifried < kurt@seifried.org >
- 再保险:作业恶意软件
- 来自:帕默< pmeunier@cerias.purdue.edu >
- 作业的恶意软件
- 上一页的日期:再保险:作业恶意软件
- 下一个按日期:再保险:作业恶意软件
- 前线程:再保险:作业恶意软件
- 下一个线程:再保险:作业恶意软件
- 指数(es):
