所以一些盲点,因此CVE的服务的讨论

来:cve-editorial-board-list <cve-editorial-board-list@mitre.org>
主题所以一些盲点,提出由于CVE服务的讨论
从:Kurt Seifried <kurt@seifried.org>
日期-0600年:星期四,2018年10月25日11:32:11
Authentication-results:防晒系数= softfail(发送者的IP 198.49.146.235) smtp.mailfrom = seifried.org;imc.mitre.org;dkim =失败(签名并没有验证)header.d = seifried-org.20150623.gappssmtp.com, imc.mitre.org;dmarc =没有行动=没有header.from = seifried.org;
交货日期:2018年10月25日15:01:09星期四
Dkim-signature:v = 1;一个= rsa-sha256;c = /放松放松;d = seifried-org.20150623.gappssmtp.com;s = 20150623;h = mime-version::日期:问题:主题:;bh = sUUl / 8 ys9ducy9dcdavbzzevylvko8om625qd53lbdy =;b = nspZd0G8 / tV5OEyLaOTo3UEcv2fcJtcFCqmH1 + JyTmm / HixRJ6C7AkJQhhiBprL5py UAS vgdlBV3S1FA1t7kTinkyVRoaGjtUZsad4xJUq7MpASbMFvTTnUMmcBPXoE4FMViA UyuIU8IMDpujLMXT2XLk5yA68BbEFWeCvDd3PbU + 1 ps3ivdd3abfyenz29erpdnk5n3k Hny0lh / 6 y / Lgxom6qiYYoW68A8ZFumlWC / wwy3Fv / gl / o0FurtoVt71WMxVFhP0DuzDL uWFIuZwFseoAc3G2 + oTiWQgJV + g4Mg9uhPaLB2QX9uTCP2OcI1nLG6rJWMiHP + HD8EI + LN / g = =
Dkim-signature:v = 1;一个= rsa-sha256;c = /放松放松;d = mitre.org;h = mime-version::日期:问题:主题::内容类型;s = selector1;bh = sUUl / 8 ys9ducy9dcdavbzzevylvko8om625qd53lbdy =;b = lpcd9xOiorj2xcad3mKOjMdFuE6shGG61BokavOnd2tqK9cmJvTxojS09AsxPHtza5grfXj0wiTukR4GZ9ucj8dYRSIpQqDLi5s8MgPjLbsQBq / n6zVdh1yqDPCnMwydud6JT1lughMTOYXhKn1K / 3 fap6x69mvvvpwevky95kw =
Spamdiagnosticmetadata:NSPM
Spamdiagnosticoutput:1:9 9

所以我们有一个好的服务CVE今天讨论和一些盲点,最大的一个(和董事会将不得不处理):

CVE数据库——实践与理论?

所以在过去的CVE数据库主要是可利用的漏洞,虽然我们不需要证明开发通常大部分都很自解释的,我们有类似Linux内核,出于谨慎,分配大量的CVE (http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux +内核),因为这些缺陷通常被发现可采有足够的工作。

然而与软件的一个方面是我们不知道它是否已被利用,我们甚至不知道在某些情况下运行这个东西。

这使我们到云,大多数云提供商做相当多的日志记录,并且可以在某些情况下肯定说“是的服务X有一个漏洞,但是我们检查所有的日志,它从未利用/触发”,所以在这种情况下,我们绝对有一个漏洞,但是我们也有(据我们所知)最终证明它从来没有利用。

所以在这种情况下,如果我们有证明它不是利用,应该得到一个CVE吗?我可以看到参数两种方式,但我想让董事会承担。

- - -

Kurt Seifried
kurt@seifried.org

跟进:
- Re:所以一些盲点,因此CVE的服务的讨论
  - 来自:帕默< pmeunier@cerias.purdue.edu >
- RE:所以一些盲点,因此CVE的服务的讨论
  - 来自:丽莎·奥尔森< elolson@microsoft.com >