Devo richiedere un CVE per i bug nel software di crimpatura numerica?

Naviga le tue risposte
2

Ho trovato diversi bug di memoria in un software di crunch numerico che uso quotidianamente (per divertimento) usando valgrind e disinfettatore di indirizzi. Ho contattato l'autore e ora sta lavorando duramente per rintracciare e correggere il bug.

Dovrei richiedere un CVE per questo? Lo sto chiedendo perché lo mantengo anche per una distribuzione.

Questi bug dovrebbero essere considerati seri? Di solito non esegui il programma come root, ma il programma non ti impedisce nemmeno di farlo. Devo cambiare lo script del wrapper in modo che cada il privilegio di root e muoia se non può?

Grazie!

    
posta Alex Vong 15.10.2016 - 17:25
fonte

1 risposta

1

Se questa è veramente una vulnerabilità allora si ottiene un CVE. Ma ricorda, tutti i bug non sono vulnerabilità. Osservando i commenti precedenti, se un utente malintenzionato potrebbe rilevare un sito Web o farlo collassare, allora sì, è sicuramente una vulnerabilità.

    
risposta data 16.10.2016 - 05:08
fonte

Leggi altre domande sui tag

Come implementare la comunicazione ECDHE-RSA-AES256-GCM-SHA-2 in OpenSSL? HTTPS e cookie crittografato per la sessione