NotCVE - ещё одна база уязвимостей
В процессе подготовки будущей статьи искал информацию об уязвимостях, которые не были признаны разработчиками. И натнулся на проект NotCVE (он же !CVE). Проект появился как минимум с октября 2023 года. Удивительно, что в рунете практически нет упоминания этого проекта (нашёл только ссылку на этот ресурс на сайте БДУ).
Миссия проекта - предоставить общее пространство для уязвимостей, которые не признаны производителями, но при этом представляют собой серьезные проблемы безопасности. Если исследователь столкнулся с трудностями при присвоении CVE, авторы проекта готовы помочь - содействуя присвоению CVE. Либо, если это окажется безуспешным, присвоив NotCVE. База уязвимостей, которым присвоили NotCVE, пока скромная (всего 5 штук). Есть 3 варианта поиска, производящих поиск одновременно по базам CVE и NotCVE: с поддержкой фильтра по версиям, CVSS, наличию эксплоита, типу воздействия (у меня, правда, поиск по версиям плохо отработал - может, неверно составил запрос).
В часто задаваемых вопросах на сайте проекта приводят такой список причин обращаться к NotCVE:
Проблема безопасности, которую производитель считает своей особенностью.
Проблема безопасности, технически корректная, но выходящая за рамки модели угроз производителя.
Отклонения CVE по причине окончания срока службы и поддержки.
Проблема, которая может считаться уязвимостью по мнению MITRE, но не по мнению поставщика.
Опубликованная проблема безопасности, которой не присвоен CVE по истечении 90 дней.
Опубликованная проблема безопасности без присвоенного CVE.
Также есть опубликованное электронное письмо от представителей NotCVE (от 2023 года). Среди прочего там указано:
В некоторых случаях MITRE выступает за присвоение CVE, но вендор против. В таких случаях MITRE ничего не может сделать. По опыту мы можем сказать, что в итоге CVE не будет присвоен. Обратите внимание, что «проблема безопасности» не может быть даже названа «уязвимостью», потому что не является таковой (только у поставщика есть такие полномочия) в соответствии с правилами MITRE. Если что-то не является «уязвимостью», то нечего исправлять, нечего отслеживать и т. д. Поскольку такие проблемы остаются незамеченными, к ним следует относиться еще более осторожно, поскольку они, скорее всего, не будут исправлены. Поэтому платформа !CVE - это далеко не развилка, но она раскрывает проблемы безопасности, которые в противном случае останутся скрытыми для большинства из нас. Также платформа признает усилия исследователей безопасности, отдавая им заслуженное должное.
Моя личная практика это тоже подтверждает: разработчики Hyperledger Fabric всячески отказываются называть найденную мной проблему уязвимостью (CVE-2024-45244). И даже предлагали мне самому отозвать CVE (а когда я отказался - пытались оспорить назначение CVE, но безуспешно). Более того, проблему исправили в версии 3.0.0 (см. поиск по тексту "TimeWindowCheck" в описании релиза 3.0.0) - вышла 20.09.2024. И не хотят исправлять в ветке 2.5.х (в которой продолжается выпуск новых версий после 20.09.2024). В связи с чем описание CVE-2024-45244 (в части уязвимых версий) сейчас не актуально.
Возможно, и я обращусь к NotCVE по нескольким потенциальным проблемам:
IBM отказался признавать уязвимость в Instana, о которой я им сообщил на днях (подробностей пока сообщать не буду - как раз уточняю точно ли они не будут заводить CVE);
MITRE назначила CVE (CVE-2024-57695) найденной мной уязвимости 13-летней давности (сообщил им лишь в декабре 2024) ещё в январе 2025. Но, статус до сих пор RESERVED (подробнее об этом статусе);
Docker отказался присваивать CVE (эту уязвимость нашёл не я, но я не смог пройти мимо и обратился в MITRE).
P.S. По такому случаю сделал ключевое слово "не бага а фича" - надеюсь, в дальнейшем по этому выражению на Хабре станет проще находить соотвествующие статьи\посты.