Данијел Стенберг, аутор цурл, упозорио кориснике, путем блога, о извештају од стране организације МИТЕР, из а лажна критична рањивост.
Извештај детаљи о рањивости којој је додељен ЦВЕ -ИД "ЦВЕ-2020-19909"и ниво озбиљности од 9,8 од 10, што је типично за удаљено искоришћене рањивости које доводе до повећаног извршавања кода.
У извештају о рањивости грешка се помиње у коду за рашчлањивање опције командне линије „–ретри-делаи“, што је поправљено 2019. године и изазвало је преливање целог броја. Пошто се грешка манифестује само када се експлицитно проследи нетачна вредност приликом покретања услужног програма са командне линије и доводи до погрешне интерпретације кашњења пре прослеђивања података, програмери грешку нису класификовали као рањивост.
Ово је прича која се састоји од неколико малих грађевинских блокова и настала је расута у времену и на различитим местима. То је прича која јасно показује како је наш тренутни систем са ЦВЕ ИД-ом и пуно моћи датог НВД-у потпуно покварен систем.
Даниел Стенберг, помиње да је проблем појављује се три године касније, када је неко поднео извештај о рањивости МИТЕР-у и доделио проблему критични ниво озбиљности.
Стога у вашој публикацији, критикује МИТЕР, пошто то каже Како је могуће да би ова организација „могла прихватити назначени ниво озбиљности“, будући да чак и ако се ради о рањивости која се може искористити, проблеми ускраћивања услуге генерално спадају у другу категорију.
У цурл пројекту радимо напорно и жестоко на безбедности и увек радимо са истраживачима безбедности који пријављују проблеме. Ми евидентирамо сопствене ЦВЕ, документујемо их и обавештавамо се да о њима говоримо свету. Наводимо их преко 140 са сваким замисливим детаљима о њима. Наш циљ је да обезбедимо златну документацију за све, а то укључује наше рањивости у прошлости у безбедности.
То што је неко други изненада поднео ЦВЕ за цурл је изненађење. Ово нам нису рекли и заиста би нам се допало. Сада постоји нови ЦВЕ који пријављује проблем увијања и немамо детаља да кажемо о томе на веб локацији. Није добро.
Значајно је то цурл програмери су се обратили МИТЕР-у са захтевом да пониште извештај ЦВЕ, али представници МИТЕР-а су се једноставно одјавили, одбили су да уклоне ЦВЕ а они су је само означили као контроверзну („СПОРНО“).
Поред овога, помиње се да се „контроверзне пријаве“ шаљу анонимно преко „НВД“ сервиса за пријаву рањивости и као такви за сада није познат разлог објављивања ове врсте „лажних рањивости“.
Многи од оних који су коментарисали у посту аутора Цурл-а, изгледа да долазе до одређене тачке, пошто то помињу Вероватно је неко одлучио да покаже недостатак одговарајуће ревизије приликом пријема извештаја о рањивости, могућност коришћења ЦВЕ-а као механизма за дискредитацију пројеката или скретање пажње на решење потенцијално опасних проблема у коду без анализе њиховог утицаја на безбедност.
Чак је и Џонатан Вајт, из КееПассКСЦ тима, под својим надимком „дроидмонкеи“, дао коментар у коме се позива на чињеницу да је КееПассКСЦ тим такође прошао кроз сличан проблем, што поткрепљује идеју да је највероватније да неко је припремио извештаје на основу проучавања исправљених грешака које потенцијално могу да доведу до рањивости, али да програмери главних препознатих пројеката не утичу на безбедност (нпр. може доћи до преливања бафера, али се манифестује само при обради интерних података који корисник не може утицати).
коначно ако јеси заинтересовани да сазнају више о томе, детаље можете проверити у следећи линк.