Всегда ли в CVE есть фиксированный патч?

Question

Всегда ли в CVE есть фиксированный патч?

Не уверен, всегда ли есть патч к соответствующей CVE?

А что если patch_a не исправляет CVE должным образом, а затем идет patch_b, поэтому есть два патча для исправления одного конкретного CVE. Будет ли обновлена ссылка на CVE?

-1

cve

Источник

user1336815 21 фев '20 в 04:39

2 ответа

Другие вопросы по тегам cve

23 июн '23 в 01:10 2023-06-23 01:10 · Answer 1 · 2023-06-23 01:10

Правильный ответ:

CVE идентифицирует уязвимость или уязвимость, цитируя веб-сайт cve.org: «Миссия программы CVE® Выявлять, определять и каталогизировать публично раскрытые уязвимости кибербезопасности».

Если назначен CVE и выпущен патч, который утверждает, что исправляет CVE, но не исправляет его, или не полностью исправляет его, или создает новую уязвимость, что ж, вы выигрываете новый CVE. Примеры можно легко найти, выполнив поиск по запросу «ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE», например https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=because+of+an+incomplete . +исправить+для

user12195604 21 сен '20 в 12:35 2020-09-21 12:35 · Answer 2 · 2020-09-21 12:35

Чтобы дать правильный ответ, мы должны проверить процессы публикации CVE,

Для начала человек, обнаруживший уязвимость, должен сообщить об этом редактору затронутого продукта. После этого у редактора есть срок, чтобы предоставить патч. По истечении этого срока уязвимость публикуется.

Обычно редактор уже создает патч, а веб-сайт, публикующий CVE, дает ссылку на патч. Но иногда, по прошествии периода, патча нет. Иногда редактор принял решение не предоставлять патч. много причин для этого:

Затронутый продукт не поддерживается;
Редактору не хватило времени предоставить патч. Таким образом, можно не найти патч для CVE.

Что касается второго вопроса, обычно, когда патч не исправляет уязвимость должным образом, создается второй идентификатор CVE с новым патчем.