Perché il codice CVE-2010-5298 è stato utilizzato per una vulnerabilità scoperta nel 2014?

4

Stavo consultando l' elenco di vulnerabilità OpenSSL e ho trovato CVE- 2010 -5298 come vulnerabilità del 2014.

Al link , sotto Data Entry creato, si dice < strong> 20140414 .

Tuttavia, sotto link , mostra chiaramente quel formato come CVE-YYYY-NNNN :

The CVE-ID Syntax Change took effect on January 1, 2014.

New CVE-ID Syntax

The new CVE-ID syntax is variable length and includes:

CVE prefix + Year + Arbitrary Digits

IMPORTANT: The variable length arbitrary digits will begin at four (4) fixed digits and expand with arbitrary digits only when needed in a calendar year, for example, CVE-YYYY-NNNN and if needed CVE-YYYY-NNNNN, CVE-YYYY-NNNNNNN, and so on. This also means there will be no changes needed to previously assigned CVE-IDs, which all include 4 digits.

Ho pensato che l'anno si rifletta sempre nel codice CVE. Cosa è successo in questo caso? È un caso comune?

    
posta user193130 17.07.2014 - 19:46
fonte

1 risposta

13

È perché la vulnerabilità è stata scoperta per la prima volta nel 2010 (anche se non è stata segnalata come un problema di sicurezza allora, proprio come un bug), e riscoperta di nuovo nel 2014 da Ted Unangst dopo che il cuore è diventato la goccia che ha spezzato il cammello indietro, e questa volta correttamente identificato come un problema con implicazioni di sicurezza.

Rapporto bug originale: link

    
risposta data 17.07.2014 - 20:41
fonte

Leggi altre domande sui tag