Vlákno názorů k článku
Kritická zranitelnost linuxových systémů dostala hodnocení CVSS 9.9, oprava zatím neexistuje
od lzap - Četl jsem včera, celé je to podezřelé. V...
-
Četl jsem včera, celé je to podezřelé. V linkovaném článku je reklama na jakýsi bezpečnotní software Bettercap na kterém člověk pracuje. Nikde není ani památky (odkaz) o tom, že by Red Hat opravdu něco potvrdil, to je jen jakési tvrzení kohosi na twitteru. Pokud je to celé pravda, tak proč nezveřejní číslo CVE? To není tajná informace, bývá přiděleno ihned a dalo by to všemu nějakou váhu. S CVE se dá normálně pracovat veřejně i když je pod embargem, často firmy (včetně Red Hatu) dávájí o závažných chybách oznámení ve smyslu "Pracujeme na vážné opravě CVE-2024-12345, vyčkejte dalších instrukcí". Nic jsem nezaznamenal.
Pravdou je, že některé chyby opravdu mohou trvat velmi dlouhou dobu opravit. Ono to není jen tak backportovat větší patch to třiceti kernelů, otestovat to, zkomunikovat a synchronizovat.
-
Filip JirsákStříbrný podporovatelAle zveřejnění čísla CVE snad nic nebrání, ne? Zejména když má dneska CVE kdejaká blbost…
-
Filip JirsákStříbrný podporovatel
Což je právě trochu divné. Nebo už jsme se posunuli do stavu, že reálným bezpečnostním chybám se CVE nepřiřazuje? Aby se nějak odlišilo, že tentokrát je to vážné?
-
Přesně tak, ten člověk na twitter dal screenshot z MITRE kde dostat rezervaci CVE (jinými slovy zkrátka číslo) je snadné. On tím chtěl říct: "mám CVE ve stavu reserved, myslím si že je to 9.99999 ale oni si myslí jinak".
No a jak se ještě včera večer ukázalo, je to přesně tak. Není to chyba v kernelu, je to chyba v podslužbě CUPS která ani není standardně zapnutá. A na Red Hatech vás zřejmě před hlubším zneužitím ochrání SELinux (nezkoumal jsem). Takže malé skóre a ukřivděné tweety.
https://twitter.com/RedHat/status/1839396377232544032
Tím prosím nechci znevažovat práci security research lidí, vážím si toho, jen bych ubral na plynu v komunikaci za předpokladu, že skóre není takové jaké si představuji. Ono je to těžké, takových chyb najde člověk pár za život, ale na druhé straně je člověk, kterému projde pod rukama 10 CVE denně a musí se tím nějak probrat a rozumně to rozdělit.
