S
Size: a a a
2019 July 12
s
Да, прямо от туда
S
Тогда хз, мое общение с митре сильно ограничено ) может кто ещеподскажет
s
А обязан ли вендор вообще выделять CVE для уязвимости? Какие это плюсы имеет вообще для вендора?
s
Просто некоторые вообще не имеют cve что странно
GD
Там какая-то наркомания
s
Будет ли стоить денег получение CVE?
s
Я имею ввиду что вендор/ресерчер должны заплатить mitre
GD
насколько знаю - нет
s
Обязан ли ресерчер реверсить крэшдамп и показывать причину его появления? Или можно просто прикрепить PoC'и. Не будет ли это расценено вендором просто как баг, а не уязвимость?
JG
s0i37
Обязан ли ресерчер реверсить крэшдамп и показывать причину его появления? Или можно просто прикрепить PoC'и. Не будет ли это расценено вендором просто как баг, а не уязвимость?
Не обязан
JG
Напиши в CERT
s
Это сэкономило бы кучу времени)
s
благодарю всех, кто откликнулся
A
Напиши в CERT
Смотря в какой стране, ни все имеют CVE ведь)
JG
Смотря в какой стране, ни все имеют CVE ведь)
Тоже верно
A
s0i37
А обязан ли вендор вообще выделять CVE для уязвимости? Какие это плюсы имеет вообще для вендора?
Вендор не обязан.
На форме подачи cve есть список вендоров, которые подают инфу им сами. И там же рекомендация, если вендор есть в этом списке, то подавать в вендора. Если нет, можно подавать в mitre самостоятельно.
Обычно в течение суток приходит от них письмо, что номер зарегистрирован.
На форме подачи cve есть список вендоров, которые подают инфу им сами. И там же рекомендация, если вендор есть в этом списке, то подавать в вендора. Если нет, можно подавать в mitre самостоятельно.
Обычно в течение суток приходит от них письмо, что номер зарегистрирован.
A
Вендор не обязан.
На форме подачи cve есть список вендоров, которые подают инфу им сами. И там же рекомендация, если вендор есть в этом списке, то подавать в вендора. Если нет, можно подавать в mitre самостоятельно.
Обычно в течение суток приходит от них письмо, что номер зарегистрирован.
На форме подачи cve есть список вендоров, которые подают инфу им сами. И там же рекомендация, если вендор есть в этом списке, то подавать в вендора. Если нет, можно подавать в mitre самостоятельно.
Обычно в течение суток приходит от них письмо, что номер зарегистрирован.
Далее, когда информация об уязвимости становится публичной (вендор выпустил патч, кто-то опубликовал подробности и тп) им высылается ссылка на публикацию, и тогда инфа о cve становится публично доступной.
A
Естественно, сами они это не отслеживают, и если цве регал сам, самому же и нужно им скинуть ссылку
s
Я только ссылку кинул на release notes. Больше ни чего не