CVE的不同状态
对于CVE有两种记录状态,分别是RESERVED 和 REJECT:
1.将CVE记录标记为“保留”是什么意思?
当CVE记录已保留供CVE编号颁发机构(CNA)或安全研究人员使用时,将其标记为“保留” ,但其详细信息尚未发布。根据CVE列表内部和外部的多种因素,CVE记录可以随时从RESERVED状态变为发布状态。一旦CVE记录在CVE列表上发布了详细信息,它就会在美国国家漏洞数据库(NVD)中可用。作为该过程的最后步骤之一,NIST NVD团队会为CVE记录分配NVD通用漏洞评分系统(CVSS)分数。
2.将CVE记录标记为“已拒绝”是什么意思?
当一方不同意另一方关于软件中特定问题是漏洞的主张时,可以将分配给该问题的CVE记录指定为“已争议”。在这些情况下,CVE计划无法确定哪一方是正确的。相反,我们记下了该争端,并尝试提供任何公共参考,以更好地帮助那些试图了解该问题事实的人。
当您看到“已发行”的CVE记录时,建议您通过参考文献或联系受影响的供应商或开发人员以获取更多信息,以研究问题。
列为“拒绝”的CVE记录是不被接受为CVE记录的CVE记录。CVE记录被标记为REJECT的原因通常会在CVE记录的说明中阐明。可能的示例包括它是重复的CVE记录,原始请求者将其撤回,分配不正确或其他一些管理原因。
通常,应忽略REJECT CVE记录。
但是,在某些情况下,以前标记为REJECT的CVE记录可能需要移回RESERVED或已发布状态(即,详细信息和参考已发布并包括在内)。一个示例案例可能包括一个简单的意外REJECT,其中CVE记录被CVE编号颁发机构(CNA)标记为REJECT,但CVE ID被公开使用。在这种情况下,将造成更多的混乱和其他工作,以拒绝已使用的CVE ID,分配新的CVE ID,并确保所有公共引用都已更新。此处讨论的更改将只是更改REJECT CVE记录,并将其与预期的详细信息一起发布。
4.在公开使用CVE ID时,为什么将CVE记录标记为“保留”?
当CVE记录已保留供CVE编号颁发机构(CNA)或安全研究人员使用时,将其标记为“保留” ,但其详细信息尚未发布。通常,这是因为CVE ID分配的原始请求者尚未向CVE程序发送更新,包括发布CVE Record所需的信息。请注意,除非存在描述该漏洞的公共参考,否则CVE记录无法详细发布。
如果你知道正在公开使用的CVE ID,但尚未包含在CVE列表中(即CVE记录仍标记为RESERVED),或者对于已发布的CVE记录有其他信息,则可以要求通过CVE Request Web表单可以更新CVE记录。
