Целта на докладването на уязвимости, които вече са били коригирани преди години, все още е неизвестна
Даниел Стенберг, curl Автор, предупредени потребители, чрез публикация в блог, относно доклад от организацията MITRE, на a фалшива критична уязвимост.
Докладът подробности за уязвимост, на която е присвоен CVE-ID "CVE-2020-19909"и ниво на сериозност 9,8 от 10, което е типично за дистанционно експлоатирани уязвимости, които водят до повишено изпълнение на код.
В доклада за уязвимостта в кода за анализиране на опцията на командния ред се споменава грешка „–retry-delay“, което беше коригирано през 2019 г. и предизвика препълване на цяло число. Тъй като грешката се проявява само когато изрично се подаде неправилна стойност при стартиране на помощната програма от командния ред и води до неправилно тълкуване на забавянето преди повторното изпращане на данните, грешката не е класифицирана като уязвимост от разработчиците.
Това е история, която се състои от няколко малки градивни елемента и те се случват разпръснати във времето и на различни места. Това е история, която ясно показва как сегашната ни система с ID CVE и много мощност, дадена на NVD, е напълно повредена система.
Daniel Stenberg, споменава, че проблемът идва три години по-късно когато някой изпрати доклад за уязвимост на MITRE и присвои на проблема критично ниво на сериозност.
Така че във вашия пост, критикува MITRE, тъй като се казва, че как е възможно тази организация "да приеме посоченото ниво на сериозност", тъй като дори и да беше използваема уязвимост, проблемите с отказ на услуга обикновено попадат в друга категория.
Ние в curl project работим яростно и усилено по сигурността и винаги работим с изследователи по сигурността, които докладват за проблеми. Представяме нашите собствени CVE, документираме ги и се грижим да разкажем на света за тях. Изброихме над 140 от тях с всички възможни подробности за тях. Нашата цел е да предоставим документация на златно ниво за всичко и това включва нашите минали уязвимости в сигурността.
Това, че някой друг изведнъж е изпратил CVE за curl, е изненада. Това не ни е казано и наистина би ни харесало. Вече има нов CVE, който съобщава за проблем с къдриците и нямаме подробности за това на уебсайта. Не е добре.
Забележително е, че разработчиците на curl се обърнаха към MITER с молба да отменят доклада CVE, но представителите на MITER просто се отписаха, отказаха да премахнат CVE и само го маркираха като спорен ("СПОРЕН").
В допълнение към това се споменава, че „противоречивите доклади“ се изпращат анонимно чрез услугата за докладване на уязвимости „NVD“ и като такива досега причината за публикуването на този тип „фалшиви уязвимости“ не е известна. ясно.
Много от коментиралите в публикацията на автора на Curl, те изглежда стигат до определена точка, тъй като те споменават това вероятно някой е решил да докаже липсата на подходящ одит при получаване на доклади за уязвимости, възможност за използване на CVE като механизъм за дискредитиране на проекти или привличане на вниманието към коригиране на потенциално опасни проблеми в кода, без да се анализира тяхното въздействие върху сигурността.
И това е, че дори Джонатан Уайт, от екипа на KeePassXC, под неговия псевдоним „droidmonkey“, направи коментар, в който се позовава на факта, че екипът на KeePassXC също е преминал през подобен проблем, което засилва идеята, че най-то е вероятно някой да е подготвил доклади въз основа на проучване на фиксирани грешки, които потенциално биха могли да доведат до уязвимости, но които разработчиците на основните проекти са разпознали като не засягащи сигурността (например може да има препълване на буфера, но се проявява само при обработка вътрешни данни, които не могат да бъдат повлияни от потребителя).
най-накрая, ако сте се интересувам да научим повече за това, можете да проверите подробностите в следваща връзка.