¿Por qué se utiliza el código CVE-2010-5298 para una vulnerabilidad descubierta en 2014?

Navega tus respuestas
4

Estaba buscando en la lista de vulnerabilidades de OpenSSL y encontré CVE- 2010 -5298 como vulnerabilidad del 2014.

En enlace , debajo de Entrada de fecha creada, dice < fuerte> 20140414 .

Sin embargo, en enlace , muestra claramente ese formato como CVE-YYYY-NNNN :

  

El cambio de sintaxis de CVE-ID entró en vigencia el 1 de enero de 2014.

     

Nueva sintaxis de CVE-ID

     

La nueva sintaxis de CVE-ID es de longitud variable e incluye:

     

Prefijo CVE + Año + Dígitos arbitrarios

     

IMPORTANTE : los dígitos arbitrarios de longitud variable comenzarán a las cuatro (4)   dígitos fijos y expandir con dígitos arbitrarios solo cuando sea necesario en una   año calendario, por ejemplo, CVE-YYYY-NNNN y si es necesario    CVE-YYYY-NNNNN , CVE-YYYY-NNNNNNN , y así sucesivamente. Esto también significa que hay   no será necesario realizar cambios en los CVE-ID asignados anteriormente, que incluyen 4 dígitos.

Pensé que el año siempre se refleja en el código CVE. ¿Qué pasó en este caso? ¿Es esto una ocurrencia común?

    
pregunta user193130 17.07.2014 - 19:46
fuente

1 respuesta

13

Se debe a que la vulnerabilidad se descubrió por primera vez en 2010 (incluso si no se informó como un problema de seguridad en ese entonces, solo como un error), y fue redescubierta nuevamente en 2014 por Ted Unangst después de que Heartbleed se convirtiera en la paja que rompió camello de vuelta, y esta vez correctamente identificado como un problema con implicaciones de seguridad.

Informe de error original: enlace

    
respondido por el Bruno Rohée 17.07.2014 - 20:41
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo evitar que mi dirección de correo electrónico se use como remitente para mensajes fraudulentos / estafadores? ¿Es la inyección de matriz una vulnerabilidad y cuál es el término adecuado para ella?