对于通用漏洞和暴露 (CVE) 系统中的禁运漏洞，是否有书面的官方信息发布流程？

如果存在这样的过程，它如何解决诸如最近的英特尔内核页表漏洞之类的情况，其中该漏洞已通过非官方渠道公开披露，并且已经记录了公开可用的概念证明漏洞利用？

我一直在尝试估计此问题中提到的最近被禁运的英特尔内核页表漏洞的影响。如那篇文章所述，此漏洞在可追溯到 11 月 4日的社交 媒体 帐户、论坛、许多新闻网站和Linux 补丁（12 月 4 日）甚至已被基准测试。甚至还有一篇关于它的维基百科文章，以及公共文档 可追溯到 6 个月。由于缺乏有关此漏洞的官方信息，以及公众对硬件缺陷和待解决的软件解决方法的严格审查，导致发布了大量相互矛盾的信息。

有了所有这些非官方信息，我还没有遇到与该漏洞相关的单一标识符，该标识符为补丁和讨论提供了通用参考。我们知道有一个 CVE 编号，但由于它被禁运，因此该编号和任何官方文档都没有向公众发布。包含此漏洞补丁的 Linux 更新将于 1 月 5 日由亚马逊发布，微软预计将于 1 月 9 日发布类似的更新，但可用的官方信息为零，这将导致许多组织（包括我的）仅基于有关原因的非常矛盾的信息，同时对许多软件堆栈的多层造成估计 30% 的性能损失。

我理解禁运背后的想法 - 在修复或解决方法可用之前披露过多信息将为编写漏洞的个人或组织提供先机。然而，考虑到已经记录了概念验证漏洞利用 ，已经获得的大量非官方信息似乎使禁运成为一个有争议的问题。