<사는이야기>

CVE ID 신청 방법

gosoeungduk 2022. 10. 9. 13:57
반응형

최근 CVE 신청할 일이 있었어서 정리해봄.

우선 CVE 를 등록해주는 기관선정을 해야하는데 본인이 찾은 취약점이 트리거 되는 프로그램의 벤더가 아래 링크에 있는 240개(2022.10.09 기준) 기관(통칭 CNA 라고 함) 중에 존재하면 해당 CNA 로 가서 먼저 제보하도록 권고 하고 있다.

CNA Lists 링크

ex) visual studio code 에서 취약점을 찾았으면 CNA 역할을 하고있는 Microsoft Corperation 에 먼저 제보를 하면 빠르고 정확하게 CVE 를 발급받을 수 있다

일반적으로는 mitre corperation 에 제보하는 편이라고 한다.

기관선정을 했으면, 기관에 가서 신청을 해야하는데 필자같은 경우는 mitre 사이트에 가서 신청하였다.

신청 form 은 mitre CVE 신청 form 링크 로 가면 된다.


이제 form 을 작성하면 되는데, 아래 사진에 적혀있는 이메일을 본인이 답신을 받을 메일에서 차단을 풀어두어야한다.

그리고 본인이 찾은 취약점 타입, 종류를 적고 프로그램의 벤더를 적으면 되는데, 딱히 벤더가 없으면 본인이 제보하는 CNA 를 적어두면 된다.

그다음에는 프로그램 이름과 영향을 받는 버전들을 나열하면 된다.

그리고 optional 탭에서 추가정보를 적어주면 된다.

먼저 프로그램 제작사가 취약점을 인지하고있는지 여부를 체크하고 공격방식에 대해 다시한번 골라주면 된다.

마지막으로 적어줘야되는 부분이다.

1. Affected Component: 취약점을 통해 영향을 받는 파일이나 범위?에 대해 적어주면 된다.

2. Attack Vector: 공격 벡터, 침투 방향에 대해 말하면 된다.

3. Suggested description of the vulnerability for use in the CVE : 우리가 흔히 CVE 문서에서 Description 으로 보는 곳에 띄울 글을 적어주면 된다.

4. Discoverer(s)/Credits : 찾은 사람이나 단체의 이름을 적어주면 된다. 둘다 기재 가능

5. Reference(s) : 내가 제보한 곳이나 write up 링크를 올려주면 된다. CNA 에서 참고자료로 보고 확인하는 듯

6. Additional information : 추가로 CNA 에 어필하고 싶은 부분? 을 적어주면 된다.

그리고 submit 하면 아래와 같은 문구를 보고 대기 타면 된다.

반응형