Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"MITRE не получил финансирование для продолжения ведения базы CVE-индентификаторов уязвимостей"	+/–
Сообщение от opennews (??), 16-Апр-25, 09:33
Правительство США не продлило контракт с организацией MITRE,  связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63085
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 16-Апр-25, 09:33	+17 +/–
Ну уж счетчик новых записей без коллизий наладят как-нибудь и без министерства по выделению идентификаторов...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #30, #31, #76

3. Сообщение от х (?), 16-Апр-25, 09:41	+4 +/–
и прямой подлог в отношении ESP32 не помог, что ты будешь делать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #47

7. Сообщение от Жироватт (ok), 16-Апр-25, 09:54    Скрыто ботом-модератором	+1 +/–
Ну, не гольф же у патрона сворачивать, да? В пентагоне разогнали айтишный "SWAT team of nerds". Щас как раз университеты подприжать, как тому же Гарврду (минус таксфри, остановка дотаций) осталось и все, подеба!
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 16-Апр-25, 09:57	+2 +/–
Собственно, толку от сабжа никакого не было. Часть распиаренных уязвимостей попадала в этот перечень, но что дальше? Сколько раз было, что, вроде, должно быть уязвимым, а на деле, в дистрибутиве давно пропатчено сопровождающими. Разве что исторический интерес с информацией о некоторых громких случаях.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

13. Сообщение от Аноним (13), 16-Апр-25, 10:01	–2 +/–
Вы путайте мягкое с тёплым. Назовите хоть одну известную уязвимость для которой не был присвоен CVE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18, #37, #42

18. Сообщение от Аноним (10), 16-Апр-25, 10:06	+/–
Я не найду, но присваивали их далеко не всем и не всегда. Часто, вроде как присваивали, но публично не доступно. Понятно, в чьих интересах зеродеи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

22. Сообщение от laindono (ok), 16-Апр-25, 10:11	+14 +/–
Предлагаю на базе рандомного UUID. Впрочем лично мне не очень понятно, чем там в принципе 400 человек занимались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #28

23. Сообщение от Аноним (23), 16-Апр-25, 10:16	+1 +/–
>Предполагается, что если не будут найдены альтернативные пути поддержания программы Жить на пожертвования, оставив 10 человек.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

27. Сообщение от Аноним (27), 16-Апр-25, 10:29    Скрыто ботом-модератором	+/–
Возможно, Китай профинансирует. Где-то слышал, что бывшие работники USAID уже частично перехвачены Китаем. А великий донни пусть продолжает клоуничать курам на смех.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от n00by (ok), 16-Апр-25, 10:30	+/–
> не очень понятно, чем > там в принципе 400 человек занимались. Уязвимость "нулевого дня" остаётся таковой, пока о ней мало кто знает. 400 могут не только ускорить распространение, но и создать существенную задержку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

30. Сообщение от onanim (?), 16-Апр-25, 10:35	+16 +/–
>     чем там в принципе 400 человек занимались. разгребанием нескончаемого потока фейковых уязвимостей от индусов и пакистанцев, рисующих CVEшки себе в резюме.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #46

31. Сообщение от Аноним (31), 16-Апр-25, 10:37	+1 +/–
Ага только добавлять в этот счётчик будет заинтересованные люди. А у них другие интересы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

35. Сообщение от Аноним (-), 16-Апр-25, 10:54	+3 +/–
А вот и последствия "смены власти". Если предыдущие хотели избавиться от CVE путем внедрения более современных ЯП, то эти просто заметают под ковер. Нет публикаций - нет CVE))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #57, #58

37. Сообщение от Аноним (37), 16-Апр-25, 11:05	+1 +/–
Не назову, потому что мне заплатили. Но я сообщал об уязвимостях разработчикам, их правили, но не публиковали. То есть с точки зрения пользователей уязвимостей и не было. А мне пофиг, я бабло получил и остальное меня не касается. И я такой точно не один.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

39. Сообщение от Аноним (39), 16-Апр-25, 11:10	+3 +/–
Извините, а не могли бы раскрыть мысль Что вы имеете ввиду?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #65

42. Сообщение от n00by (ok), 16-Апр-25, 11:17	+/–
Первое попавшееся https://bugzilla.altlinux.org/show_bug.cgi?id=38212#c2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #55

46. Сообщение от Аноним (46), 16-Апр-25, 11:50	+/–
Ошибки в CoC тоже уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

47. Сообщение от Аноним (46), 16-Апр-25, 11:53	+/–
Давайте ещё Arduino приплетём сюда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

49. Сообщение от Аноним (46), 16-Апр-25, 12:02	+/–
Евросоюз мог бы скинуться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

50. Сообщение от Аноним (46), 16-Апр-25, 12:08	+/–
Как раз, внедрением новых молодёжных ЯП хотели избавиться от CVE имено путём заметания: нет видимых проблем - нет CVE.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

52. Сообщение от Аноним (52), 16-Апр-25, 12:12	+2 +/–
Опачки, новые оптимизации правительства от господина Илона Маска снова делают мир лучше!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53, #66

53. Сообщение от Аноним (53), 16-Апр-25, 12:21	+/–
Его же вроде бы отстранили?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

54. Сообщение от qweo (?), 16-Апр-25, 12:41	+/–
Openwall FTW )
Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от penetrator (?), 16-Апр-25, 13:11	+/–
и лучше, чтобы у каждой был CVE, это сразу упрощает поиск и идентификацию, все-таки хоть кто-то обратил внимание и проанализировал суть уязвимости, плюс глобальные базы на проверки версий подверженности тем или иным CVE
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #78

56. Сообщение от PnD (??), 16-Апр-25, 13:33	+2 +/–
Не, так-то уязвимости в базу тоже попадают. Но там похоже давно поставили робот, тянущий в CVE коммиты со всяких git.kernel.org по каким-то признакам. Который кожаные мешки вообще проверять забили. Вот вам немножко за 2025: - CVE-2025-21646: Если есть AFS (и рутовые права), её можно повредить. - CVE-2025-21678: Устройство GTP ("GPRS Tunneling Protocol") создаётся не в том namespace. Не эксплуатируемо, на мой взгляд. - CVE-2025-21694: "Чтобы убить таракана, нужно его поймать и втереть под хвост наше патентованное средство." (Можно добиться softlockup, делая kdump.) Ни "Vulnerability" ни "Exposure" как-то не наблюдается. Баги — да. Но не CVE.
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от Аноним (57), 16-Апр-25, 14:06	+2 +/–
А на этих CVE появились кучка паразитирующих бизнесов, предлагающих как бы софт для проверки кода на уязвимости. Который вместо действительно анализа кода просто триггерится на зависимости, к которым приписали какие-то номерки CVE. Безотносительно как эти зависимости задействованы в проекте. Но манагеры-то покупают, и ведутся, и разрабам бестолковых задачек накидывают..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #77

58. Сообщение от Аноним (58), 16-Апр-25, 14:34	+2 +/–
Какие ещё последствия? Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #59

59. Сообщение от freehck (ok), 16-Апр-25, 14:47	+2 +/–
> Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США? Да, хочу. Мне, как русскому человеку, совсем не жалко денег налогоплательщиков США. =)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

61. Сообщение от Аноним (61), 16-Апр-25, 15:11	+3 +/–
>которое уже привело к увольнению более 400 сотрудников в этом месяце А чем они собственно занимались?
Ответить | Правка | Наверх | Cообщить модератору

65. Сообщение от Аноним (65), 16-Апр-25, 15:56	+3 +/–
Одни испанцы-безопасники решили поиграть в рэкетиров и объявили, что нашли в ESP32 бэкдор. Бэкдора не нашлось (нашлись служебные команды без удалённого доступа), но осадочек остался: 1) а чего эти желтокожие из Espressif в натуре, а? пусть извиняются. 2) испанцы продемонстрировали свою полезность, MITRE тоже ухватился за возможность продемонстрировать свою полезность и открыл CVE https://www.opennet.me/opennews/art.shtml?num=62852
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #68

66. Сообщение от Аноним (66), 16-Апр-25, 16:22	–1 +/–
ну конечно, а деньги на строительства в секторе газа откуда еще взять, 300 лярдов уже выделили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

68. Сообщение от Аноним (68), 16-Апр-25, 16:26	–2 +/–
Это какие-то спекуляции. Есть исследование, есть рабочий эксплоит, есть описание. Всего этого достаточно для открытия CVE. Если выясняется, что исследование не соответствует действительности или выполнено нарушение - пишется жалоба, поступает опровержение. Это процесс, он не может работать на уровне "аноним сказал, что точно брехня".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #73

73. Сообщение от Аноним (65), 16-Апр-25, 17:01	+/–
Гражданин спекулянт, вы даже не читали новость: > дополнение: в обновлённом анонсе исследователи убрали текст про бэкдор Выдумываете на ходу рабочие эксплоиты и их необходимость, MITRE этого не требует[1]. > пишется жалоба, поступает опровержение Жалоба на что? На то, что команды и правда не задокументированы? Или на то, что команды без документации от более уважаемых людей (AMD, NVidia, Phison) в CVE не попадут? [1] "From a security perspective, even when the functionality is not intentionally malicious or damaging, it can increase the product's attack surface..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

74. Сообщение от Аноним (74), 16-Апр-25, 17:09	+1 +/–
> которое уже привело к увольнению более 400 сотрудников в этом месяце А обвиняют других в бюрократии...
Ответить | Правка | Наверх | Cообщить модератору

76. Сообщение от Аноним (76), 16-Апр-25, 18:16	–1 +/–
Предложи IANA свой счётчик. Ух, заживём тогда. Можно будет решить проблему с нехваткой IPv4 используя адреса после 255.255.255.255. Я себе 666.0.0.0/8 сразу же возьму.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

77. Сообщение от Аноним (76), 16-Апр-25, 18:29	+/–
Разбираться как эти зависимости используются в проекте — прямая задача разработчиков, а не менеджеров или, тем более, вендоров. Менеджер — по крайней мере хороший, как я, например, — скажет разобраться как вон те уязвимости влияют на нашу безопасность, а не беги бегом апдейти всё вчера. И ответ может быть от «никак и вот почему» до «апдейт накачен, индикаторов взлома не обнаружено». А то, что тебе тасочек в джиру накидали, так тебе за них зарплатку платят. Не нравится — найди место где не накидывают, делов-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #83, #88, #92

78. Сообщение от n00by (ok), 16-Апр-25, 18:30	+/–
В том случае слишком много анализировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

82. Сообщение от myster (ok), 16-Апр-25, 19:28	–1 +/–
Нужна международная база уязвимостей, например, на базе ООН или БРИКС. Это надежнее, чем какая-то организация спонсированная из бюджета отдельно взятой страны, они и некоторых бекдоров могут тупо специально не замечать, пока их носом не ткнут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93

83. Сообщение от Аноним (57), 16-Апр-25, 20:17	+/–
Так разработчики без тебя и разбирутся. Если не соображаешь - то доверься команде, и не лезь с прикручичанием всяких автоматических валидаторов к проекту. И да, манагеры "беги бегом апдейти всё вчера" не глядя - тоже встречаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #84

84. Сообщение от anonymous (??), 16-Апр-25, 20:25	+/–
Программисты - самые ленивые хомячки в ИТ-индустрии. Пока не пнешь, не тыкнешь носом, не заставишь хотя бы в суть дела вникнуть - они и пальцем не поведут. Уж кому-кому, а программистам вопросы информационной безопасности доверять нельзя. Будешь доверять своей команде - они тебе на шею сядут и ножки свесят. Так что "беги бегом апдейти всё вчера, пока пайплан зеленым не станет".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

85. Сообщение от голос_из_леса (ok), 16-Апр-25, 20:55	+1 +/–
https://en.wikipedia.org/wiki/Mitre_Corporation >> In February 2020, MITRE launched SQUINT, a free app allowing election officials to report misinformation on social media; Не конторка, а отдел спецслужб. Да еще и "нон-профит". Мда. Закрыли финансы за то что деньги отмывала и в политику лезла, но плакаться она будет о том, на что ее 0.01% бюджета шли.
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Смузихлеб забывший пароль (?), 17-Апр-25, 09:55	+/–
У крупных контор есть служба безопасности. И они нередко проверяют написанное программистами корпоративное ПО на наличие дыр. Но, поскольку модулей и ЯП используется много и разных для разных продуктов, разумеется, в самом коде они копаться едва ли будут ибо тупо не понимают его. В итоге - просто прогоняют скриптом проверку несколькими осн. продуктами, которые сканируют пакеты/модули в плане их версий и известных уязвимостей. В итоге, могут запросто запретить релиз из-за какой-то ерунды в каком-то из модулей, который практически не используется, но допустить к релизу сборку, в рамках которой логины-пароли пользователей отправляются по неизвестному адресу Или в принципе допустить релиз с новыми версиями дырявых пакетов но тупо потому, что версии слишком новые и о дырах в них пока что ничего неизвестно( т.е формально их как бы нет, хотя может быть даже больше, в т.ч умышленных и в зависимости от региона/осн языка итд итп )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

92. Сообщение от Tron is Whistling (?), 17-Апр-25, 13:40    Скрыто ботом-модератором	+/–
- Разбираться как эти зависимости используются в проекте — прямая задача разработчиков А теперь расскажите это пишущим на хрустах, питонах и нодежс :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77

93. Сообщение от Аноним (93), 18-Апр-25, 20:51	+1 +/–
оон тоже как бы "организация спонсированная из бюджета отдельно взятой страны". брикс это тоже тот ещё курятник где каждый тянет одеяло на себя. Нет место получше. Было бы - давно бы свалили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #94

94. Сообщение от Аноним (93), 19-Апр-25, 00:33	+/–
Да и смысл, интернет там изобрели и курируют. Кормят опять же. "Таити, Таити, нас и тут неплохо кормят", как говорится)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #97

95. Сообщение от Аноним (95), 19-Апр-25, 16:53	+/–
Как, снова свободные живут за чужой счёт и наченают верещат, кат только выясняется, что никто из них не делает то, за что так орёт на всех углах? :D
Ответить | Правка | Наверх | Cообщить модератору

96. Сообщение от 1 (??), 20-Апр-25, 10:54	+/–
Как там бду фстэк поживает, будет финансирование...
Ответить | Правка | Наверх | Cообщить модератору

97. Сообщение от myster (ok), 20-Апр-25, 14:35	+/–
мы находимся на заре этой технологии, скорей всего будет все по-другому уже в ближайшем будущем
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #94

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема