Re:所以一些盲点,因此CVE的服务的讨论

或部分的攻击,攻击者可以删除或者改变日志文件(例如一个缺陷在AWS CloudTrail例如使我们到第二十二条军规)。

结婚,2018年10月31日晚上将近12点帕斯卡默<pmeunier@cerias.purdue.edu>写道:

丽莎,
我喜欢这个文档,除了要求“有一些
客户可以做,你找找,检测早期开发。”That assumes you have perfect
知识的客户还是会做,但是客户可以有不同的
视角。例如,客户可能是改变决定,最好的行动
供应商!这个选择可能会不被视为客户可以做的事,
提供者,是利益冲突的原因之一。

帕斯卡

结婚,在十七20 + 0000 2018-10-31,丽莎·奥尔森写道:
>我头脑风暴与同事这是微软。附加的文档
>我们的思想精华,并提供了一些例子。
>
>:Kurt Seifried <kurt@seifried.org>
>发送:星期四,2018年10月25日,32
>:cve-editorial-board-list <cve-editorial-board-list@mitre.org>
>主题:所以一些盲点,因此CVE的服务的讨论
>
>所以我们有一个好的服务CVE今天讨论和一些盲点,
>最大的一个(和董事会将不得不处理):
>
> CVE数据库——实践与理论?
>
>所以过去CVE数据库主要是可利用的漏洞,虽然
>我们不需要证明剥削通常大部分都很自解释的,我们所做的
>有类似我们的Linux内核,出于谨慎,分配大量的CVE (http: /
> /cve.mitre.org/cgi-
> bin / cvekey.cgi ?关键字= linux内核+ <https://na01.safelinks.protection.outlook.com/?url= " " >
3 > ttp % % 2 f % 2 fcve.mitre.org% 2 fcgi -
>本% 2 fcvekey。cgi % 3 fkeyword % 3 dlinux % 2 bkernel&data = " href = " http://40microsoft.com " rel = " noreferrer "目标= "平等" > 40 microsoft.com% 7 c559
> 77085 ef7c4896844808d63a9ffe5d % 7 c72f988bf86f141af91ab2d7cd011db47 % 7 c1 % 7 c0 % 7 c6367608561853
> 43092 sdata = aBr1GPrl0N6oM6yXYOxgNFAPZQQ7JxWuK % 2 bjbnkvejog % 3 d&reserved = 0 >,因为
>这些缺陷通常被发现可采有足够的工作。
>
>不过是与软件的一个方面我们可以不知道它已经被利用
>,我们甚至不知道在某些情况下运行这个东西。
>
>这使我们到云,大多数云提供商做相当多的日志记录,并且可以在
>肯定某些情况下说“是的服务X有一个漏洞,但是我们检查
>我们的日志和它从未利用/触发”,所以在这种情况下,我们绝对有
>脆弱,但我们也有(据我们所知)从来就不是决定性证据
>利用。
>
>所以在这种情况下,如果我们有证明它不是利用,应该得到一个CVE吗?我可以
>看到两方面的争论,但我想让董事会承担。
>
>——
> Kurt Seifried
>kurt@seifried.org< mailto:kurt@seifried.org>

- - -

Kurt Seifried
kurt@seifried.org