Get best of the week

CVE-ID abrufen

Nach der Veröffentlichung unseres Artikels „CSRF in Umbraco CMS“ erhielten wir mehrere Nachrichten mit Fragen zum Erhalt von CVE. In diesem Artikel wird erläutert, was zu tun ist, wenn ein Anbieter sich weigert, einer in seinem Produkt gefundenen Sicherheitsanfälligkeit einen CVE-Index zuzuweisen.

Die Arbeit mit entdeckten Schwachstellen erfolgt in drei Hauptphasen:

  1. Lieferantenbenachrichtigung
  2. Bestätigung und Korrektur einer gefundenen Sicherheitsanfälligkeit
  3. Offenlegung

Nachdem Sie eine Sicherheitsanfälligkeit im Produkt festgestellt haben, müssen Sie einen detaillierten Bericht für den Anbieter erstellen und Kontakte für den Kontakt finden. Wenn der Anbieter Kontakte zu Produktsicherheitsproblemen und öffentlichen Verschlüsselungsschlüsseln hat, können Sie sofort einen Brief senden, der einen verschlüsselten Bericht enthält. Dies ist die beste Option für den Forscher. Dies ist jedoch nicht immer der Fall. Wenn daher keine separaten Sicherheitskontakte (und Verschlüsselungsschlüssel) vorhanden sind, müssen Sie die Korrespondenz über gemeinsame Adressen starten. Der erste Brief sollte über die Identifizierung von Schwachstellen informieren, die Kontakte der für die Sicherheit Verantwortlichen anfordern und Informationen darüber senden, wie der Bericht in geschützter Form gesendet werden kann. Manchmal können Vertreter des Anbieters jedoch darum bitten, einen Bericht ohne Verschlüsselung zu senden.
In jedem Schreiben sollte die Frist angegeben werden, nach der Informationen über die Sicherheitsanfälligkeit öffentlich bekannt gegeben werden (nicht mehr als 4 Monate ab dem Datum des ersten Kontakts).

Auf diese Weise können Sie es auch dann veröffentlichen, wenn der Anbieter nicht auf Briefe reagiert (sofort oder nach einiger Zeit).

Die Offenlegung in jedem Fall kann auf unterschiedliche Weise erfolgen: Dies hängt alles von der Kritikalität und dem Ausmaß der festgestellten Sicherheitsanfälligkeit ab. Dies geht jedoch über den Rahmen dieses Artikels hinaus.

Der Bericht enthält die folgenden Abschnitte:

  • Titel (Name der Sicherheitsanfälligkeit)
  • Das Produkt, in dem die Sicherheitsanfälligkeit entdeckt wurde
  • Version (oder Versionen) anfälliger Produkte
  • CVSS-Bedrohungsbewertung (und / oder nur niedrig bis kritisch)
  • Entdeckungsdatum
  • Beschreibung der Sicherheitsanfälligkeit
  • Betriebsbeispiel (Proof of Concept)
  • Empfehlungen zur Korrektur

In den meisten Fällen nimmt der Anbieter Kontakt auf und meldet nach einer Weile die Fristen für die Behebung der Sicherheitsanfälligkeit. Gemeinsam festgelegt und das Datum der Veröffentlichung, das von der zuvor angegebenen Frist abweichen kann. Manchmal können Sie Informationen früher veröffentlichen, aber in den meisten Fällen bittet der Anbieter um mehr Zeit.

An diesem Punkt müssen Sie die CVE-Kennung abrufen, um sie der Publikation hinzuzufügen.

Betrachten Sie den Prozess genauer.
Die Kennung sollte theoretisch vom Entwickler des anfälligen Produkts zugewiesen werden. Das passiert aber nicht immer. In solchen Fällen kann der Forscher selbst CVE erhalten. Dazu müssen Sie auf die Site gehen und dort das folgende Formular finden:



Wählen Sie im Anfragetyp "CVE-ID anfordern" und füllen Sie alle Felder aus.

MITRE hat eine ausgezeichnete FAQ , die beim Ausfüllen des Formulars hilft.

Nach dem Ausfüllen der angegebenen E-Mail-Adresse erfolgt eine automatische Antwort mit der Anforderungsnummer. Es kann und sollte für die weitere Kommunikation verwendet werden:



Nach einem Tag kann die CVE-Kennung erhalten werden:



Sieg! Informationen zu Sicherheitslücken können mit allen relevanten Details, einschließlich einer CVE-Kennung, veröffentlicht werden.

Stellen Sie Fragen und teilen Sie Ihre Erfahrungen in den Kommentaren und in unserer Facebook- Gruppe !

More articles:


All Articles