Get best of the week

الحصول على معرف CVE

بعد نشر مقالنا "CSRF في Umbraco CMS" ، تلقينا العديد من الرسائل مع أسئلة تتعلق بعملية الحصول على CVE. تتناول هذه المقالة ما يجب فعله عندما يرفض البائع تعيين فهرس CVE إلى ثغرة موجودة في منتجه.

يتم العمل مع نقاط الضعف المكتشفة في ثلاث مراحل رئيسية:

  1. إشعار البائع
  2. تأكيد وتصحيح الثغرة المكتشفة
  3. الكشف العلني

بعد العثور على ثغرة في المنتج ، تحتاج إلى عمل تقرير مفصل للمورد والعثور على جهات اتصال للاتصال. إذا كان لدى المورد جهات اتصال بشأن مشكلات أمان المنتج ومفاتيح التشفير العامة ، فيمكنك حينئذٍ إرسال رسالة تحتوي على تقرير مشفر. هذا هو الخيار الأفضل للباحث. ومع ذلك ، ليس هذا هو الحال دائمًا. لذلك ، إذا لم تكن هناك جهات اتصال أمنية منفصلة (ومفاتيح تشفير) ، فيجب عليك بدء المراسلات من خلال أي عناوين مشتركة. يجب أن تبلغ الرسالة الأولى عن تحديد نقاط الضعف ، وتطلب اتصالات المسؤولين عن الأمن والمعلومات حول كيفية إرسال التقرير في شكل محمي. ومع ذلك ، قد يطلب ممثلو المورد أحيانًا إرسال تقرير دون أي تشفير.
يجب أن تشير كل رسالة إلى الموعد النهائي ، وبعد ذلك سيكون هناك الكشف العلني عن المعلومات حول الثغرة (لا يزيد عن 4 أشهر من تاريخ الاتصال الأول).

سيسمح لك هذا بنشرها حتى لو لم يرد البائع على الرسائل (على الفور أو بعد مرور بعض الوقت).

يمكن إجراء الكشف العلني في كل حالة بطرق مختلفة: كل هذا يتوقف على مدى خطورة وحجم الثغرة الموجودة. ولكن هذا خارج نطاق هذه المقالة.

يحتوي التقرير على الأقسام التالية:

  • العنوان (اسم الضعف)
  • المنتج الذي تم اكتشاف الثغرة الأمنية فيه
  • إصدار (أو إصدارات) من المنتجات الضعيفة
  • تصنيف تهديد CVSS (و / أو من الأقل إلى الحرج)
  • تاريخ الاكتشاف
  • وصف الضعف
  • مثال عملي (إثبات المفهوم)
  • توصيات التصحيح

في أغلب الأحيان ، يقوم البائع بالاتصال وبعد فترة من الوقت يقدم المواعيد النهائية لإصلاح الثغرة الأمنية. تحديد مشترك وتاريخ الإفصاح العلني ، والذي قد يختلف عن الموعد النهائي المشار إليه سابقًا. في بعض الأحيان يمكنك نشر المعلومات في وقت سابق ، ولكن في معظم الحالات ، يطلب البائع مزيدًا من الوقت.

عند هذه النقطة تحتاج إلى الحصول على معرف CVE لإضافته إلى المنشور.

فكر في العملية بمزيد من التفصيل.
يجب تعيين المعرّف نظريًا من قبل مطور المنتج المعرض للخطر. لكن هذا لا يحدث دائمًا. في مثل هذه الحالات ، سيتمكن الباحث من الحصول على CVE من تلقاء نفسه. للقيام بذلك ، تحتاج إلى الذهاب إلى الموقع والعثور على النموذج التالي هناك:



في نوع الطلب ، حدد "طلب معرف CVE" واملأ جميع الحقول.

لدى MITER أسئلة متكررة ممتازة ستساعد في ملء النموذج.

بعد ملء عنوان البريد الإلكتروني المحدد ، يأتي الرد التلقائي الذي يحتوي على رقم الطلب. يمكن ويجب استخدامه في مزيد من التواصل:



بعد يوم واحد ، يمكن الحصول على معرف CVE:



Victory! يمكن نشر معلومات الثغرة مع جميع التفاصيل ذات الصلة ، بما في ذلك معرف CVE.

اطرح الأسئلة وشارك تجاربك في التعليقات وفي مجموعتنا على Facebook !

More articles:


All Articles