curl e i CVE, e quelle severity insensate relative ai bug che creano allarmismi inutili

9 8 critical

Lo scorso giugno abbiamo raccontato delle perplessità di Daniel Stenberg, creatore di curl, sul National Vulnerability Database (NVD) ed i valori delle CVE e di come in quel caso specifico la CVE-2023-27536, inizialmente inserita con severità 9.8, ossia CRITICAL, ossia Apocalypse now, fosse stata riclassificata, dopo una estenuante serie di azioni, a 5.9, ossia MEDIUM, ossia nulla di che.

Non sono passati che pochi mesi ed ecco una nuova testimonianza di come, in tutta quella storia, poco sia stato imparato. Questa volta è il turno della CVE-2020-19909 indicata in una email alla curl-library mailing list nella quale veniva spiegato come questa non apparisse all’interno del sito di curl.

risultata immediatamente strana per due principali ragioni:

  1. Da sempre il progetto gestisce in autonomia la creazione delle CVE, mentre in questo caso non è stato possibile risalire a chi sia stato ad aprire la segnalazione.
  2. La data della problematica risale, come evoca il nome, al 2020!

La CVE in sé, come spiega Stenberg, non è nulla di che, un integer overflow difficile da spiegare ancor più che sfruttare, già indirizzato e risolto oltre 4 anni fa e presente dalla versione 7.66.0 di curl, datata settembre 2019.

swd forse hanno ed il protagonista, ahi noi, è sempre lo stesso: NVD, ossia il National Vulnerability Database che si preoccupa di catalogare e rendere disponibili i dettagli delle vulnerabilità.

Nonostante quindi sia stato ampiamente dimostrato come la vulnerabilità non sia di tale criticità, nonostante Ubuntu abbia indicato i propri sistemi come non affetti dal problema, la richiesta di Stenberg al MITRE di cancellazione è stata respinta, con questa motivazione:

After review there are multiple perspectives on whether the issue information is helpful to consumers of the CVE List, our current preference is in the direction of keeping the CVE ID assignment. There is a valid weakness (integer overflow) that can lead to a valid security impact (denial of service, based on retrying network traffic much more often than is documented/requested). The record has been flagged as DISPUTED and the views have been recorded as a NOTE in the record as well. This request will now be closed.

Dopo la revisione ci sono molteplici prospettive sull’utilità delle informazioni sul problema per i consumatori dell’elenco CVE, la nostra preferenza attuale è nella direzione di mantenere l’assegnazione dell’ID CVE. Esiste un valido punto debole (integer overflow) che può portare a un impatto valido sulla sicurezza (denial of service, basata sul ritentare il traffico di rete molto più spesso di quanto documentato/richiesto). Il record è stato contrassegnato come CONTROVERSO e anche le visualizzazioni sono state registrate come NOTA nel record. Questa richiesta verrà ora chiusa.

Quindi grazie, ma no grazie.

Ci salveremo mai da queste cose? Verrà mai anteposto il buonsenso alla burocrazia? Oggi siamo un pochino più pessimisti sul tema.

790f89849d535c46ddf9fb9b8fa033b4?s=150&d=mp&r=g

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Fonte: https://www.miamammausalinux.org/2023/09/curl-e-i-cve-e-quelle-severity-insensate-relative-ai-bug-che-creano-allarmismi-inutili/

Visited 18 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Una risposta

  1. 5 Luglio 2024

    […] abbiamo raccontato è quello di curl, il cui sviluppatore Daniel Stenberg ha da sempre denunciato i CVE con severity insensate relative ai bug che creano allarmismi inutili ed il cui cammino è culminato nel far diventare il progetto curl una CVE Numbering Authority, […]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.