Il mio fornitore di SoC utilizza Yocto per creare una distribuzione Linux Embedded personalizzata, che contiene glibc 2.22.
Come parte della distribuzione abbiamo ricevuto patch fino a CVE-2016-4429 . Ma ora ci sono alcune vulnerabilità che non sono state ancora affrontate, come ad esempio:
Esistono patch note per questi CVE che possiamo ottenere?
La ricerca di CVE-2016-5417 rimanda a nvd.nist.giv che ha come risorsa elencava un collegamento a una patch .
Si noti che queste patch di origine sono solitamente solo per le versioni ancora supportate dagli autori del software, cioè spesso solo le ultime versioni. E potrebbe anche essere che la patch includa non solo una correzione per questo specifico problema ma per più problemi. In questi casi, dipende dal distributore per fornire una versione fissa del software o è necessario disporre del know-how per estrarre la patch essenziale da una più grande, magari modificarla per la versione del software e applicarla, ad es. fai ciò che il distributore di solito fa per te.