CVE-2015-5185 elenca due versioni particolari, "1.3.4 e 1.3.18" come vulnerabili. Se utilizzo 1.3.11, qual è la prossima azione per determinare la vulnerabilità?
Penso che questa domanda riguardi solo la convenzione. Un autore CVE potrebbe specificare due versioni particolari come questa per indicare una relazione "se e solo se", o una relazione "se e forse altri"?
Il ricercatore avrebbe potuto solo testare queste due versioni, non ha molto senso speculare. A seconda di quale distro si utilizza la patch potrebbe essere stato eseguito il porting senza modificare i numeri di versione.
Il passo successivo è assicurarsi di utilizzare l'ultima versione supportata dalla distro e controllare i registri delle modifiche del pacchetto per vedere se è stato corretto. Se si desidera verificare la patch come efficace, si dovrebbe tentare lo sfruttamento. Dato che non è possibile sfruttare prontamente l'exploit pubblico per testare, è necessario investire del tempo per provare a sviluppare un poc o eseguire il reverse engineering della patch.