0%

How to request a RESERVED CVE

在申请 CVE 过程中会遇到一个问题,向软件官方提交漏洞修复后,由于软件官方不是CNA 无法直接分配CVE,而申请CVE 通常需要一个软件官方确认的链接,而有些比较正规的软件在漏洞修复之前是不会有公开链接的,这就无法申请CVE了。

有点鸡生蛋,蛋生鸡的感觉。解决这个问题的办法是申请一个 RESERVED CVE。

申请 RESERVED CVE 方法

申请 RESERVED CVE,也是需要填写的CVE 申请表格的 https://cveform.mitre.org/,选择 Request CVE ID

根据提示的重要信息:

1
IMPORTANT: Once a CVE ID is assigned to your vulnerability, it will not be published in the CVE List until you have submitted a URL pointing to public information about the vulnerability. Without a public reference, the CVE ID will display as "RESERVED" in the CVE List. Please update CVE with a reference to the vulnerability's details as soon as possible. See this FAQ for more information.

只要将 public reference 留空,就可以申请 RESERVED CVE 了。CVE 官方收到请求后会有确认的邮件。

CVE 官方分配 CVE ID

CVE 官方收到 RESERVED CVE 请求后,会给分配一个 CVE ID,但是状态为 ** RESERVED ** ,不会有公开细节。

RESERVED CVE 申请公开

当软件官方确认已经修复漏洞,并且发布新版后,可以通知 CVE 官方更新 CVE 的状态。还是通过填写 https://cveform.mitre.org/ 表格,选择 Notify CVE about a publication,填写相关信息。

一些注意事项

  1. cve-request@mitre.orgcve@mitre.org 加入邮件白名单 (有可能邮件会被截拦)
  2. 在申请公开步骤中,CVE 官方有可能和你要公开披露的链接,如果软件官方不给写,可以自己写一个

披露要求的信息:

1
2
3
4
5
[CVE ID]
[PRODUCT]
[VERSION]
[PROBLEM TYPE]
[DESCRIPTION]