Get best of the week

Obtendo o ID do CVE

Após a publicação do nosso artigo “CSRF in Umbraco CMS”, recebemos várias mensagens com perguntas sobre o processo de obtenção do CVE. Este artigo discute o que fazer quando um fornecedor se recusa a atribuir um índice CVE a uma vulnerabilidade encontrada em seu produto.

O trabalho com vulnerabilidades descobertas é realizado em três estágios principais:

  1. Notificação de fornecedor
  2. Confirmação e correção de uma vulnerabilidade encontrada
  3. Divulgação pública

Depois de encontrar uma vulnerabilidade no produto, você precisa fazer um relatório detalhado para o fornecedor e encontrar contatos para contato. Se o fornecedor tiver contatos sobre questões de segurança do produto e chaves de criptografia públicas, você poderá enviar imediatamente uma carta que conterá um relatório criptografado. Esta é a melhor opção para o pesquisador. No entanto, esse nem sempre é o caso. Portanto, se não houver contatos de segurança separados (e chaves de criptografia), você deverá iniciar a correspondência através de endereços comuns. A primeira carta deve informar sobre a identificação de vulnerabilidades, solicitar os contatos dos responsáveis ​​pela segurança e informações sobre como enviar o relatório de forma protegida. No entanto, algumas vezes os representantes do fornecedor podem solicitar o envio de um relatório sem criptografia.
Cada carta deve indicar o prazo, após o qual haverá uma divulgação pública de informações sobre a vulnerabilidade (não mais de quatro meses a partir da data do primeiro contato).

Isso permitirá que você publique, mesmo que o fornecedor não responda às cartas (imediatamente ou depois de algum tempo).

A divulgação pública em cada caso pode ser feita de diferentes maneiras: tudo depende da criticidade e magnitude da vulnerabilidade encontrada. Mas isso está além do escopo deste artigo.

O relatório contém as seguintes seções:

  • Título (nome da vulnerabilidade)
  • O produto no qual a vulnerabilidade foi descoberta
  • Versão (ou versões) de produtos vulneráveis
  • Classificação de ameaça CVSS (e / ou apenas de baixa a crítica)
  • Data da descoberta
  • Descrição da vulnerabilidade
  • Exemplo de Operação (Prova de Conceito)
  • Recomendações para correção

Na maioria das vezes, o fornecedor entra em contato e depois de um tempo informa os prazos para corrigir a vulnerabilidade. Determinada em conjunto e a data de divulgação pública, que pode diferir do prazo indicado anteriormente. Às vezes, você pode publicar informações mais cedo, mas, na maioria dos casos, o fornecedor solicita mais tempo.

É nesse ponto que você precisa obter o ID do CVE para adicioná-lo à publicação.

Considere o processo com mais detalhes.
O identificador em teoria deve ser atribuído pelo desenvolvedor do produto vulnerável. Mas isso nem sempre acontece. Nesses casos, o pesquisador poderá obter CVE por conta própria. Para fazer isso, você precisa acessar o site e encontrar o seguinte formulário:



No tipo de solicitação, selecione "Solicitar um ID de CVE" e preencha todos os campos.

O MITRE possui uma excelente FAQ que ajudará no preenchimento do formulário.

Após o preenchimento do endereço de e-mail especificado, é fornecida uma resposta automática que contém o número da solicitação. Pode e deve ser usado em outras comunicações:



Após um dia, o identificador CVE pode ser obtido:



Vitória! As informações de vulnerabilidade podem ser publicadas com todos os detalhes relevantes, incluindo um identificador CVE.

Faça perguntas e compartilhe suas experiências nos comentários e em nosso grupo no Facebook !

More articles:


All Articles