再保险:赋值问题

来马尼恩:艺术<amanion@cert.org>
主题:Re:分配问题
从:Kurt Seifried <kurt@seifried.org>
日期:2018年12月11日,星期二18:25:41 -0700
Authentication-results:防晒系数= softfail(发送者的IP 198.49.146.235) smtp.mailfrom = seifried.org;lists.mitre.org;dkim =通过(签名验证)header.d = seifried-org.20150623.gappssmtp.com, lists.mitre.org;dmarc =没有行动=没有header.from = seifried.org;
Cc:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
交货日期:2018年12月12日07:40:28结婚
Dkim-signature:v = 1;一个= rsa-sha256;c = /放松放松;d = seifried-org.20150623.gappssmtp.com;s = 20150623;h = mime-version:引用:回答::日期:问题:主题::cc;bh = D0kBNM6u3poLkRk3py6SJZGD2BR /天然气凝析液/ 509 bkcrgj3g =;b = QqUc8CvjZ8Y / 0 h + 8 hew93rrmob / 5 hox + DvGUoKM7td3 LYQeTDWFm1ydnw5NmC9V5S cfH4RYdQZ5yyuXelNSnvt7lDHh4NshTZG + 4 wmezep2 + fhw7v6dN8fbbzNwBkC6dASLet JntBCjk1LWpR9Mb3Ve4KDlp02nttUxMFumgUNld + 5 og2e9qpga65ht + Uljd1UWiX7DKO xAsWpzQz9JE1CQDDPcJWJeRhab4NklGYsqKObTMPQ71cgg7vKG0yrQPFq0hC27oHCFaA fXnBqheV4CSrFRvcFdSdyEVSDIVtKF5Z8K3Tbyf + PJp / OLdv3EcpdIwK3dEg0aqTpxaI CoBQ = =
在回复:<1 d6e44a8 - 652 a - a6dc a5f1 a6b3841145b7@cert.org>
引用:<1 d6e44a8 - 652 a - a6dc a5f1 a6b3841145b7@cert.org>
Spamdiagnosticmetadata:NSPM
Spamdiagnosticoutput:1:9 9

2018年12月11日,星期二,下午5:43马尼恩艺术<amanion@cert.org>写道:

有一些软件,安装web服务器/应用程序的一部分。在初始安装,web应用程序配置一个默认密码。在第一次登录时,用户需要修改密码,创建新帐户(s),连同其他首次设置配置活动。

较低,如果我获得并安装这个软件和离开之前完成首次设置,我把自己暴露了。

你可以设置一个密码以其它方式(如喂养它配置选项/文件)?如果是的,那么你有一个安全的方法。如果不是我想说CVE值得。领唱:FreeNAScve - 2014 - 5334

这是一个漏洞*不*在我的书中,假设有足够的警告和文档通知用户需要运行首次设置。

CVE或没有CVE吗?

在我的书中,如果你能够做到安全施工,但选择一个不安全的路线,没有CVE,但是如果你没有安全的路线,你赢了CVE。

谢谢,

——艺术

我的答案是“是的”疲软尽可能低严重性/优先。

- - -

Kurt Seifried
kurt@seifried.org