近日有喜欢看CVE信息的安全圈人士向安全媒体反馈,CVE公告的参考部分展示了多个易受攻击的资产域名。
这种内容出现在CVE公告中似乎与其本意不符,毕竟CVE旨在漏洞修复而不是扩大危害,安全圈人士和安全媒体也向MITRE官方反馈了该问题。安全研究员对事件整个调查一番后发现,大概率是场误会,但MITRE官方的态度并不算让人满意。漏洞报告最初来自安全研究员在Github发布的博客,MITRE认可漏洞分配编号后,误把罗列的易受攻击域名当作参考内容复制进公告中。面对圈内的质疑,MITRE回复不必大惊小怪,他们之前也经常干这种事,列出易受攻击的站点再正常不过。目前,原博客、CVE公告页或删除或修改,清除了这部分信息,但MITRE看起来到最后都没有诚心接受安全圈的建议。
这次事件,无疑是在给一些有争议的bug分配CVE编号后,对MITRE和CVE权威性的又一次冲击。虽然可能会面临不拿工资和you can you up的问题,但面对工作更谨慎一些总不是坏事,毕竟做这个肯定是有理想和执念。[阅读原文]
发表评论
您还未登录,请先登录。
登录