CVE馅

2021-01-02 23:39:34

我监视@CVENew Twitter feed,以跟上发布的任何有趣的新漏洞。 CVE-2020-29589在12月11日发布,声称``通过1.5.0-alpine的kapacitor Docker映像包含root用户的空白密码'',并且其CVSS评分为9.8。

此CVE只是CVE-2019-5021的重新报告,我于去年发布时对其进行了研究。 AlpineLinux在他们的文章中正确地宣称:“除非安装了影子或Linux-pam软件包,否则您不会受到影响。”检查DockerFile的Kapactior映像,它没有安装任何软件包,因此此容器不受根CVE-2019-5021漏洞甚至只是刚刚提供的新CVE-2020-29589的影响。发生错误,所以我联系了InfluxData,要求他们对CVE提出异议,然后继续前进。

然后它开始发生。在过去的7天中,提交了以下CVE,声称具有相同的问题,没有进行任何验证,甚至试图与容器所有者联系,让他们知道已提交CVE。

对CVE-2020-35466的描述甚至开始恶化,将受影响的产品列为“ Blackfire Docker映像– store / blackfire / blackfire”,甚至无法检查漏洞是否存在。

随着CNA的扩展,我知道CVE的总量将会爆炸,随着CVE-2019-14478等专用软件中的XSS错误变得越来越普遍。但是,只要付出一些努力来验证漏洞,数据仍然有用。如果我们到了您甚至无法相信CVE中的数据准确的地步,那么安全团队缓解漏洞的能力就变得不可能了。正如迈克尔·罗伊特曼(Michael Roytman)告诉我的那样,“糟糕的数据是唯一比没有数据更糟糕的东西”,这就是正在发生的事情。 CVE数据库中充斥着不良数据。我还没有找到有关这些CVE的联系NVD或Mitre的方法,只是运气不佳,让集装箱所有者知道对CVE提出异议。