Комментарии 6
/sarcasm on
Если ни компания, ни MITRE не проявляют энтузиазма, слейте найденную уязвимость в даркнет и через очень непродолжительное время возникнет та-а-акой интерес ;)
/sarcasm off
Серьезно, некоторыебез взлома — как без пряников пока не грянет — не перекрестятся.
Если ни компания, ни MITRE не проявляют энтузиазма, слейте найденную уязвимость в даркнет и через очень непродолжительное время возникнет та-а-акой интерес ;)
/sarcasm off
Серьезно, некоторые
Если вендор обнаруженной уязвимости не входит в список CNA на странице cve.mitre.org/cve/request_id.html#cna_participants, то идентификатор можно быстро зарегистрировать через форму митре по сути даже не представляя весомых доказательств подтверждающих уязвимость и не дожидаясь ответа самого вендора
Далее они рассматривают заявку в течении суток и высылают на указанную почту письмо с зарезервированным CVE-xxx-xxx и полями которые вы заполнили в форме.
После чего необходимо опубликовать эту информацию на каком-либо публичном источнике, можно даже на github.
Далее частой ошибкой является отправка публичной ссылки ответом на почту, которая у них криво работает, поэтому стоит высылать через cveform.mitre.org в категории «Notify CVE about a publication»
Еще сутки и CVE успешно опубликована по ссылке cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-XXXX-XXXX
Спустя время также появится и на nvd.nist.gov/vuln/detail/CVE-XXXX-XXXX
Итого:
запрос через веб-форму -> публикация -> запрос через веб-форму =
2 дня по длительности и CVE опубликовано
Если вендор не успел запатчиться, то просто не стоит раскрывать полные технические детали сразу (не публиковать эксплойт), а можно их будет добавить спустя время также через форму.
Пример одной из моих CVE оформленных за 2 дня: cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25749.
Далее они рассматривают заявку в течении суток и высылают на указанную почту письмо с зарезервированным CVE-xxx-xxx и полями которые вы заполнили в форме.
После чего необходимо опубликовать эту информацию на каком-либо публичном источнике, можно даже на github.
Далее частой ошибкой является отправка публичной ссылки ответом на почту, которая у них криво работает, поэтому стоит высылать через cveform.mitre.org в категории «Notify CVE about a publication»
Еще сутки и CVE успешно опубликована по ссылке cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-XXXX-XXXX
Спустя время также появится и на nvd.nist.gov/vuln/detail/CVE-XXXX-XXXX
Итого:
запрос через веб-форму -> публикация -> запрос через веб-форму =
2 дня по длительности и CVE опубликовано
Если вендор не успел запатчиться, то просто не стоит раскрывать полные технические детали сразу (не публиковать эксплойт), а можно их будет добавить спустя время также через форму.
Пример одной из моих CVE оформленных за 2 дня: cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25749.
Какой профит несут cve?
Я сделал проще. Вместо разбора, что такое CVE, и для чего это нужно. Написал статью на «хабре»
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Через тернии к CVE: как зарегистрировать уязвимость, если у компании нет Bug Bounty