Vorrei sapere se c'era un altro posto per vedere se un pacchetto di Debian sta correggendo un CVE rispetto al log delle modifiche del pacchetto. Ad esempio il pacchetto bind9 1:9.7.2.dfsg.P3-1 sta correggendo il CVE-2010-3613 qui , possiamo vederlo da qualche altra parte? Per essere più specifici, possiamo vederlo in un posto dove possiamo calcolare la lettura?
Debian fornisce un feed per i suoi avvisi di sicurezza: link . C'è un link a ciascun advisory che elenca il CVE indirizzato da quella correzione. La [email protected] mailing list fornisce le stesse informazioni. Questi avvisi sono stati dichiarati compatibili con CVE . L'e-mail e i feed RSS sono il modo più tempestivo per recuperare gli avvisi. Vedi la sezione sugli avvisi di sicurezza nel manuale per più contesto.
Inoltre, Debian pubblica un riferimento consultivo che elenca tutti gli advisor con il CVE a cui si rivolgono (come pure come ID Bugtraq, avvisi CERT e note di vulnerabilità US-CERT). MITER pubblica anche una mappa di riferimento CVE che elenca i CVE indirizzati da ciascun DSA.
Non conosco alcun luogo "ufficiale" in cui sia possibile recuperare la mappa della versione CVE-pacchetto in un unico passaggio. Dal riferimento incrociato di Debian, è necessario seguire i collegamenti DSA per sapere quale versione del pacchetto ha apportato la correzione.
