I CVE vengono assegnati ai vari vendor a blocchi, e poi vengono usati dai vendor quando necessario. Se sono "reserved" non significa necessariamente che e' stata gia' assegnata una vulnerabilita' dal vendor. Mitre spesso non ha visibilita' di come un vendor decide di assegnare un CVE e ne e' a conoscenza solo quando la vulnerabilita' viene rilasciata. Un CVE puo' rimanere reserved a vita se il vendor che ha il CVE "bloccato" non lo utilizza.
Ovviamente se il vendor pubblica pochi CVE l'anno, Mitre non assegna blocchi, e OpenSSL credo rientri in questa categoria. Secondo le timeline pubbliche (http://www.smh.com.au/it-pro/security-it/heartbleed-disclosure-timeline-who-knew-what-and-when-20140415-zqurk.html), e' probabile che chiunque abbia chiesto il CVE (probabilmente Google) l'abbia richiesto intorno a quella data e quindi era gia' a conoscenza della vulnerabilita' (Friday, March 21 or before - Neel Mehta of Google Security discovers Heartbleed vulnerability). A Google vengono assegnati blocchi di CVE, e' probabile che dato che questa non e' una vulnerabilita' specifica di Google, per Heartbleed hanno chiesto un CVE separato. Gerardo -----Original Message----- From: [email protected] [mailto:[email protected]] On Behalf Of Fabio Natalucci Sent: Friday, April 18, 2014 4:16 AM To: [email protected] Subject: [ml] Re: Digest di ml, Volume 120, Numero 15 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 18/04/2014 12:00, [email protected] wrote: > Ma ti riferisci a questa data: 20131203? > > Perché è chiaramente scritto: > <paste> > Disclaimer: The entry creation date may reflect when the CVE-ID was > allocated or reserved, and does not necessarily indicate when this > vulnerability was discovered, shared with the affected vendor, > publicly disclosed, or updated in CVE. > </paste> > > Chiedo perché non capisco a cosa ti riferisci. Si. La data di creazione potrebbe riflettere quando il CVE-ID è stato allocato o riservato. Lo allocano prima che gli arrivi la vulnerabilità da applicarci? I CVE-ID non li pubblicano restando reserved fino a che non vengono confermati dai vendor. Correggimi se sbaglio. - -- Fabio Natalucci IT Security Specialist & Developer PGP key 0x1932A2A4 Fingerprint 4C27 053D 5D0A C7CD 01C9 9F2C 997B 3E44 1932 A2A4 -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/ iQEcBAEBAgAGBQJTUQliAAoJEJl7PkQZMqKk+V8IAIoME7HhfbJn6sENOHeMg6Tf Z0MuxulGkBYAsbrlMLXhe4A7pKcWDUd2WDV/rKhHQM3C4b7LwQUikcVDURsqfSbp GOlJTXk0NN1um0KB4iNGvRSz2//rzEwgl8t6fKOBwauwg9BuuE0Z5s/PJZN4oBO0 c2mAjykVMkkWGNnZAITvf7l5veppIjJjhrjxrWaLhOFWF8/mjdC+p8Nnnrw23X/o 5GS5JCnDFug0rnHQCfshWBu9i87Tdwmmaq6ygvYZdVQ5bYAVAZl8i4Zd4RFyxdWc uBEIa7SD+nroy/CoWA/VdPJrS47QXtYbiuO+cTRC8frLqer3Eq91fe5LbT1ySz0= =Guko -----END PGP SIGNATURE----- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
