微软驳回 Azure 严重漏洞报告,阻挠 CVE 编号发布
https://www.ithome.com/0/951/413.htm
遭到微软拒绝后,这名研究员将漏洞提交给美国 CERT 协调中心,该中心于 4 月 16 日独立验证了漏洞有效性,并分配 VU#284781 编号。
CERT 最初计划 6 月 1 日披露漏洞,但最终并未执行。据悉,微软 5 月 4 日联系了 MITRE,建议不要授予 CVE 编号,理由仍然是“攻击需要预先存在管理员权限”。
随后,基于 CNA(CVE 编号分配机构)层级规则,CERT 关闭该案例。使得作为 CNA 成员的微软,对自己产品的 CVE 编号拥有最终决定权。
而微软方面对此回应道:“我们评估认为这并非安全漏洞,而是依赖客户环境中预先存在的管理员权限的预期行为。因此我们没有进行任何产品更改,也未分配 CVE 或 CVSS 编号”。
https://www.ithome.com/0/951/413.htm
遭到微软拒绝后,这名研究员将漏洞提交给美国 CERT 协调中心,该中心于 4 月 16 日独立验证了漏洞有效性,并分配 VU#284781 编号。
CERT 最初计划 6 月 1 日披露漏洞,但最终并未执行。据悉,微软 5 月 4 日联系了 MITRE,建议不要授予 CVE 编号,理由仍然是“攻击需要预先存在管理员权限”。
随后,基于 CNA(CVE 编号分配机构)层级规则,CERT 关闭该案例。使得作为 CNA 成员的微软,对自己产品的 CVE 编号拥有最终决定权。
而微软方面对此回应道:“我们评估认为这并非安全漏洞,而是依赖客户环境中预先存在的管理员权限的预期行为。因此我们没有进行任何产品更改,也未分配 CVE 或 CVSS 编号”。
