CVE提交过程？

Question

我有两个问题，关于如何在整个过程中为漏洞请求和获取CVE ID。

1. 我应该先与供应商联系，然后等待他们是否承认漏洞并释放补丁，然后提交CVE ID，还是现在只提交CVE ID？
2. 论CVE提交表格

它说：

注意:一旦将CVE ID分配给您的漏洞，它将不会在CVE列表中发布，直到您提交了指向该漏洞的公共信息的URL。在没有公共引用的情况下，CVE ID将在CVE列表中显示为“保留”。

我的问题是关于“指向公共信息的URL”。这些公共信息是否必须来自供应商，或者这些公共信息是否类似于指向利用数据库页面的URL？

Answer 1

当我发现CNA (CVE编号作者)无法处理的产品存在漏洞时，我会在通知供应商之前先申请CVE。

我这样做的理由是，现在我可以要求供应商在安全咨询/发布说明中引用CVE。反过来，CVE现在可以直接引用供应商的安全咨询/发布说明。

关于第二个问题，我不认为确认必须来自有关供应商。如果是这样的话，我们将无法为不再维护的产品发布CVE。

记住，CVE的目的是唯一地标识特定的漏洞。想象一下，如果没有公共引用，两个不同的漏洞扫描器将如何识别相同的漏洞。如果您受到一两个漏洞的影响，这将使您不确定。

因此，任何已发表的描述或确认漏洞的材料都可以被使用，只要它能够提供足够的细节来唯一地识别它。相反，如果供应商承认存在漏洞，则毫无疑问存在该漏洞，而没有提供可能使他人立即面临风险的复杂细节。

Answer 2

1. 联系供应商通常是有用的，特别是让供应商确认并可能从供应商的角度进行评估。但是，如果您想确保发现漏洞而不是供应商，您应该提交，然后向供应商进行负责任的披露。
2. 这可以是任何url，它不需要来自供应商；它甚至不需要是负责任的披露，您可以链接到github回购的描述，例如，利用漏洞。不过，通常情况下，它是供应商发布补丁后发布的公告，或者是查找者发布的博客文章。

Answer 3

我应该先与供应商联系，然后等待他们是否承认漏洞并释放补丁，然后提交CVE ID，还是现在只提交CVE ID？

是的，您应该首先与供应商联系，特别是如果这是一个严重的漏洞。得到一个CVE ID需要5天以上，作为一个负责任的安全研究员，你应该始终优先与供应商联系。

我通常做的是：

1. 联系供应商了解漏洞
2. 等待非自动回复
3. 向Mitre请求CVE ID (如果供应商不是CNA)
4. 与供应商共享CVE ID
5. 在修补程序部署后，与供应商合作实现公开披露

如果供应商对你最初的电子邮件没有反应，那么你应该提出另一个问题，因为有很多方法来处理这个问题。