search

arrow-progressCVE Process

Dopo aver ottenuto la mia prima CVE, in questa breve guida spiego i brevi e semplici passi per richiederne una.

hashtag
1. Contatta gli sviluppatori

Contatta gli sviluppatori secondo i canali previsti per le vulnerabilità (se esistono). Molto spesso è anche possibile segnalare una vulnerabilità tramite GitHub ma, per questione di tracking e gestione della vuln stessa, preferisco il primo contatto tramite e-mail.

hashtag
2. Richiedi la CVE

La procedura per la richiesta della mia CVE è avvenuta tramite il MITRE. Per ricevere risposta, però, ho dovuto aspettare quasi due mesi. Per questo motivo attualmente consiglio di affidarsi ad una CNA.

circle-info

Una CNA (CVE Numbering Authority) è un'organizzazione autorizzata dal CVE Program a identificare, assegnare numeri univoci (ID CVE) e pubblicare dettagli su vulnerabilità di sicurezza informatica nei propri prodotti o ambiti di competenza.

Attualmente consiglio di affidarsi ad una CNA come VulDBarrow-up-right.

hashtag
2.1 CVE - MITRE

Seguendo questa guidaarrow-up-right, è opportuno prima verificare che esista una CNA specifica che includa il prodotto software sul quale è stata trovata la vulnerabilità.

Se non esiste alcuna CNA che copre il software puoi procedere con la richiesta tramite questo formarrow-up-right.

In questo step bisogna inserire "Report Vulnerability/Request CVE ID" e inserire il proprio indirizzo email. Consiglio di conservare tutti i dati successivamente inseriti nel form poiché nel processo di approvazione il MITRE può cambiare a proprio piacimento descrizione e titolo della vulnerabilità.

hashtag
2.2 CVE - VulDB

circle-info

Che differenza c'è tra VulDB e le altre CNA?

Normalmente le CNA sono specifiche per vendor e/o prodotti. VulDB è un database delle vulnerabilità con un ambito diverso rispetto alle CNA dei fornitori o di prodotti specifici.

Su VulDB è catalogato tutto ciò che può essere sfruttato sia in ambito software che hardware (che non sia già coperto da altre CNA specifiche).

Pur non avendo (ancora!) utilizzato per tutto il processo questa modalità, il processo è totalmente analogo.

In questo caso, però, sarà necessario creare un account per poter effettuare la richiesta.

hashtag
3. Crea Advisory

Una volta che il MITRE accetta la tua richiesta (sperando di non ricevere ulteriori richieste di informazioni o modifiche) si riceverà sull'indirizzo e-mail indicato nella seconda fase un codice CVE nella forma CVE-yyyy-xxxx.

A questo punto è quasi fatta. Il prossimo passo è quello di creare un riferimento pubblico alla vulnerabilità. In questo caso consiglio una repository GitHub avente come nome il codice CVE assegnato.

Fatto ciò bisogna tornare a questa paginaarrow-up-right e selezionare questa volta "Notify CVE about a publication".

Inseriti i pochi dati rimasti il gioco è fatto. Nel breve termine (2-3 giorni al massimo) verrà confermata e la CVE sarà pubblicata.

Una volta pubblicata, la CVE sarà poi in automatico presa e inserita all'interno del NIST NVD.

hashtag
4. Flexa su LinkedIn

PreviousHall of fameNextWindows 11 debloat

Last updated