- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Nekem a CVE-kel az volt a bajom mindig, hogy rákattintva kb. zéró releváns infóval szolgáltak 80%-ban. Ha ez változni fog ezzel a Linux kernel bugok vonatkozásában (hogy valóban hozzáértők fogják kezelni), akkor welcome.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez két okból is nagyon problémás:
because the possibility of exploitation is often not evident [...], assign CVE numbers to any bugfix
Vagyis szándékosan "elinfláják" a CVE értékét, ha úgy tetszik spamelik a CVE rendszert.
No CVEs will be assigned for unfixed security issues in the Linux kernel, [...]
Vagyis alkalmatlanná tesszük a CVE-ket arra ami a legfontosabb feladatuk lenne, hogy egy aktuálisan használt - akár legfrissebb - szoftver verzióról meg tudjuk becsülni a sebezhetőségét, kockázatát.
Összeségében ez sajnos arról szól, hogy a Linux-fejlesztőknek kellemetlenségeket okozott a CVE rendszer létezése, ezért most belülről verik szét. A saját prioritásaikat figyelembe véve, a CVE rendszer felhasználóinak érdekeit és szempontjait az asztalról teljesen lesöpörve alakítják át az egészet.
- A hozzászóláshoz be kell jelentkezni
Közben ezt a részt javították is (https://lore.kernel.org/lkml/2024021446-rosy-citation-0a80@gregkh/):
No CVEs will be automatically assigned for unfixed security issues in the Linux kernel; assignment will only automatically happen after a fix is available and applied to a stable kernel tree, and it will be tracked that way by the git commit id of the original fix. If anyone wishes to have a CVE assigned before an issue is resolved with a commit, please contact the kernel CVE assignment team at <cve@kernel.org> to get an identifier assigned from their batch of reserved identifiers.
- A hozzászóláshoz be kell jelentkezni