Názor ke zprávičce Repozitář node-ip archivován kvůli nadhodnocenému CVE od MarSik - Jako příklad mi ukazovali třeba https://nvd.nist.gov/vuln/detail/CVE-2024-24258#vulnCurrentDescriptionTitle Nahlášeno na muPDF...

1. 7. 2024 13:20

MarSik

Jako příklad mi ukazovali třeba https://nvd.nist.gov/vuln/detail/CVE-2024-24258#vulnCurrentDescriptionTitle

Nahlášeno na muPDF knihovnu, ale je to memory leak ve freeglut funkci pro kreslení menu. A skončilo to jako HIGH, protože exploitovatelné po síti (!?), někdo by tu knihovnu přece mohl použít v síťové službě.

Kolegové kvůli tomu napsali i sérii článků, protože to začíná být neudržitelné - existují organizace, co začaly vyžadovat 0 (nula) známých CVE pro dodaný software. Jenže těch CVE se teď objevuje tolik, že takový stav prakticky nejde zařídit.

https://www.redhat.com/en/blog/patch-management-needs-a-revolution-part-2
- Zobrazit celé vlákno

Dále u nás najdete