La la última vez se hizo esa pregunta, ni siquiera había una solución oficial . Ahora estamos supuestamente en números CVE de 5 dígitos durante todo un año, nunca los he visto en libertad (excepto en el sitio web de MITRE).
¿La industria de la seguridad se derrumbará y caerá cuando el número pase?
La industria no se desmoronará, porque tal resultado significaría que la industria en general considera los números CVE y reconoce su existencia; El día en que esto se hará realidad será un día glorioso.
La solución para quedarse sin espacio en el esquema de numeración de CVE fue cambiar a un "nuevo formato" que permita dígitos adicionales en la última parte de la ID de CVE según sea necesario. En enero de 2013 se publicó una solicitud de información sobre la selección del nuevo formato, con un decisión anunciada en julio del mismo año, y la política entró en vigencia a principios de 2014. Se han publicado varios CVE con el nuevo formato de numeración. Esto fue anunciado por MITER en enero de 2015.
Realmente, el nuevo formato es exactamente igual al formato antiguo. La única diferencia es que las personas que escriben herramientas que usan CVE ID ahora deben tener en cuenta la posibilidad de un número arbitrariamente largo (longitud mínima de cuatro dígitos, usando ceros a la izquierda según sea necesario, sin longitud máxima) al final en lugar de solo cuatro dígitos. .
Si está interesado en obtener más información sobre los CVE emitidos bajo el "nuevo" esquema de numeración, puede descargue una copia de la base de datos CVE y busque esas entradas usted mismo. Acabo de lanzar la lista de ID de CVE en Excel, corrí Texto a columnas con guiones como delimitador, luego busqué valores en la última columna que fueran más de 9,999. Esto produjo un total de 92 identificadores CVE emitidos bajo el "nuevo formato".
La forma en que esto afectará a las herramientas o sitios web que dependen de los datos de CVE depende completamente de los desarrolladores de esas aplicaciones. Si una aplicación se ve afectada por el cambio (dada la posibilidad de que los desarrolladores nunca hayan asumido una restricción de cuatro dígitos en la última parte del identificador para comenzar), entonces depende de las personas que lo hicieron para liberar un parche. o no. Cubrir todas las aplicaciones que pueden o no verse afectadas, y su estado de parches o planes para parchear, está más allá del alcance de este sitio.
Lea otras preguntas en las etiquetas cve