Vlákno názorů k článku
OpenSSL opraví teprve druhou kritickou zranitelnost v historii od Uncaught ReferenceError: - Dá se lépe rozvést to s tím počtem...

Dá se lépe rozvést to s tím počtem kritických zranitelností? Je potřeba to vůbec uvádět, oni na to budou různé názory a je složité dohledat kterých verzí se která týká.

OpenSSL podle CVSS 3.0 score řadu kritických zranitelostní, třeba CVE-2022-2274 (9.8), CVE-2022-2068 (9.8), CVE-2022-1292 (9.8), CVE-2021-3711 (9.8), CVE-2016-6309 (9.8), CVE-2016-2842 (9.8), CVE-2016-2108 (9.8), CVE-2016-0799 (9.8), CVE-2016-0705 (9.8) atd.

Opravdu teprve druhou? V odkazech se nic o těch počtech nepíše.

Mě zase celkem zaráží to, že pokud opravdu má jít o zranitelnost srovnatelnou s Heartbleedem, tak je release naplánována až za měsíc a něco. Zároveň to nesedí s "These issues will be kept private and will trigger a new release of all supported versions. We will attempt to address these as soon as possible."

...je release naplánována až za měsíc a něco

1. listopadu je v úterý, tj. ode dneška za pět dnů.

+1h se změnou času :D

Nebo relativně o jednu hodinu dříve? V tomhle se vždy ztrácím.

27. 10. 2022, 17:17 editováno autorem komentáře

IMHO jde o kritické zranitelnosti dle vlastního hodnocení OpenSSL, nikoliv podle CVSS 3.0 (většina z těch CVE, které zde uvádíte, jsou u OpenSSL vedeny jako High severity, kromě CVE-2016-6309, která je jako jediná Critical). Zdá se navíc, že toto hodnocení začali uvádět až od října 2014, takže ani Heartbleed tam nemá uvedeno "Critical", viz: https://www.openssl.org/news/vulnerabilities.html

<em°>V odkazech se nic o těch počtech nepíše.
Je to v názvu článku hned prvního odkazu. Kritická je z hlediska bezpečnostní politiky OpenSSL. Hodnocení CVE bych nebral úplně vážně.

To "automatické" CVSS skóre toho moc neříká, dle mého názoru.