Warum sind Spielehersteller keine CVE Numbering Authorities (CNAs)?



  • Immerhin gibt es für dutzende Spiele, dedicated Server die alle im Internet hängen, von denen viele auch 24 h 7 Tage die Woche.

    Dementsprechend sind die genauso kritisch anzusehen, wie bspw. ein Apache Webserver.

    Aber nicht einmal die größten Publisher wie EA, Ubisoft oder Activision Blizzard sind CNAs wie man hier nachlesen kann:
    https://cve.mitre.org/cve/request_id.html

    Die CNAs die es gibt, kann man an einer Hand abzählen.
    Spielhersteller kommen darin nicht vor.

    Damit gibt es zu dedicated Servern praktisch, bis auf vielleicht CVEs von Dritten CNAs, keine CVEs.
    Eine mittlere Katastrophe.

    Denn damit kommt fast kein dedicated Server in einem CERT Report vor.
    Bis die Serveradmins von der Sicherheitslücke also etwas erfahren, vergeht eine halbe Ewigkeit.
    Mit CVE würde das wenigstens in den täglichen CERT Reports landen und dann kann man schnell reagieren und bspw. den dedicated Server Prozess beenden oder sonstige Maßnahmen ergreifen, wie den Port zu sperren oder ein PW zu setzen, sofern das in dem jeweiligen Fall helfen sollte.