Get best of the week

Mendapatkan ID CVE

Setelah publikasi artikel kami "CSRF di Umbraco CMS", kami menerima beberapa pesan dengan pertanyaan tentang proses mendapatkan CVE. Artikel ini membahas apa yang harus dilakukan ketika vendor menolak untuk menetapkan indeks CVE untuk kerentanan yang ditemukan dalam produknya.

Pekerjaan dengan kerentanan yang ditemukan dilakukan dalam tiga tahap utama:

  1. Pemberitahuan Vendor
  2. Konfirmasi dan koreksi kerentanan yang ditemukan
  3. Keterbukaan Informasi Publik

Setelah menemukan kerentanan dalam produk, Anda perlu membuat laporan terperinci untuk vendor dan menemukan kontak untuk kontak. Jika vendor memiliki kontak pada masalah keamanan produk dan kunci enkripsi publik, maka Anda dapat segera mengirim surat yang akan berisi laporan terenkripsi. Ini adalah pilihan terbaik untuk peneliti. Namun, ini tidak selalu terjadi. Oleh karena itu, jika tidak ada kontak keamanan yang terpisah (dan kunci enkripsi), Anda harus memulai korespondensi melalui alamat umum apa pun. Surat pertama harus menginformasikan tentang identifikasi kerentanan, meminta kontak mereka yang bertanggung jawab untuk keamanan dan informasi tentang cara mengirim laporan dalam bentuk yang dilindungi. Namun, terkadang perwakilan vendor dapat meminta untuk mengirim laporan tanpa enkripsi apa pun.
Setiap surat harus menunjukkan tenggat waktu, setelah itu akan ada pengungkapan informasi kepada publik tentang kerentanan (tidak lebih dari 4 bulan sejak tanggal kontak pertama).

Ini akan memungkinkan Anda untuk mempublikasikannya bahkan jika vendor tidak menanggapi surat (segera atau setelah beberapa waktu).

Pengungkapan publik dalam setiap kasus dapat dilakukan dengan cara yang berbeda: itu semua tergantung pada kekritisan dan besarnya kerentanan yang ditemukan. Tapi ini di luar cakupan artikel ini.

Laporan tersebut berisi bagian-bagian berikut:

  • Judul (nama kerentanan)
  • Produk tempat kerentanan ditemukan
  • Versi (atau versi) produk yang rentan
  • Peringkat ancaman CVSS (dan / atau hanya rendah ke kritis)
  • Tanggal penemuan
  • Deskripsi Kerentanan
  • Contoh Operasi (Bukti Konsep)
  • Rekomendasi untuk koreksi

Paling sering, vendor melakukan kontak dan setelah beberapa saat melaporkan tenggat waktu untuk memperbaiki kerentanan. Ditentukan bersama dan tanggal pengungkapan publik, yang mungkin berbeda dari tenggat waktu yang ditunjukkan sebelumnya. Kadang-kadang Anda dapat mempublikasikan informasi sebelumnya, tetapi dalam kebanyakan kasus, vendor meminta lebih banyak waktu.

Pada titik inilah Anda perlu mendapatkan pengenal CVE untuk menambahkannya ke publikasi.

Pertimbangkan prosesnya secara lebih rinci.
Identifier secara teori harus ditugaskan oleh pengembang produk yang rentan. Tetapi ini tidak selalu terjadi. Dalam kasus seperti itu, peneliti akan dapat memperoleh CVE sendiri. Untuk melakukan ini, Anda harus pergi ke situs dan menemukan formulir berikut di sana:



Dalam jenis permintaan, pilih "Minta ID CVE" dan isi semua bidang.

MITER memiliki FAQ yang sangat baik yang akan membantu mengisi formulir.

Setelah mengisi alamat email yang ditentukan, muncul respons otomatis yang berisi nomor permintaan. Ini dapat dan harus digunakan dalam komunikasi lebih lanjut:



Setelah sehari, pengenal CVE dapat diperoleh:



Victory! Informasi kerentanan dapat dipublikasikan dengan semua perincian yang relevan, termasuk pengenal CVE.

Ajukan pertanyaan dan bagikan pengalaman Anda dalam komentar dan di grup Facebook kami !

More articles:


All Articles