为什么代码 CVE-2010-5298 用于 2014 年发现的漏洞?

信息安全 cve
2021-08-30 10:34:44

我查看了OpenSSL 漏洞列表,发现 CVE - 2010 -5298 是 2014 年的漏洞。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298的 Date Entry Created 下,它显示 20140414

但是,在http://cve.mitre.org/cve/identifiers/syntaxchange.html下,它清楚地显示格式为CVE-YYYY-NNNN

CVE-ID 语法变更于 2014 年 1 月 1 日生效。

新的 CVE-ID 语法

新的 CVE-ID 语法是可变长度的,包括:

CVE 前缀 + 年份 + 任意数字

重要提示:可变长度的任意数字将从四 (4) 个固定数字开始,并且仅在日历年需要时以任意数字扩展,例如,CVE-YYYY-NNNN如果需要 CVE-YYYY-NNNNNCVE-YYYY-NNNNNNN等等。这也意味着无需更改之前分配的 CVE-ID,所有 CVE-ID 都包含 4 位数字。

我以为年份总是反映在 CVE 代码中。在这种情况下发生了什么?这是普遍现象吗?

1个回答

这是因为该漏洞实际上是在 2010 年首次发现的(即使当时并未将其报告为安全问题,只是作为错误报告),并且在 heartbleed 成为压倒骆驼的最后一根稻草后,于 2014 年再次被 Ted Unangst 重新发现,这一次被正确地识别为具有安全隐患的问题。

原始错误报告:https ://rt.openssl.org/Ticket/Display.html?id=2167&user=guest&pass=guest (存档链接https://web.archive.org/web/20140417192123/https://rt. openssl.org/Ticket/Display.html?id=2167&user=guest&pass=guest )

其它你可能感兴趣的问题
上一篇ISP 可以使用 MITM 攻击来“破解”加密流量吗? 下一篇openssl - 生成 rsa 密钥对 - 公钥