Правительство США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63085
Ну уж счетчик новых записей без коллизий наладят как-нибудь и без министерства по выделению идентификаторов...
Предлагаю на базе рандомного UUID. Впрочем лично мне не очень понятно, чем там в принципе 400 человек занимались.
> не очень понятно, чем
> там в принципе 400 человек занимались.Уязвимость "нулевого дня" остаётся таковой, пока о ней мало кто знает. 400 могут не только ускорить распространение, но и создать существенную задержку.
> чем там в принципе 400 человек занимались.разгребанием нескончаемого потока фейковых уязвимостей от индусов и пакистанцев, рисующих CVEшки себе в резюме.
Ошибки в CoC тоже уязвимости?
Ага только добавлять в этот счётчик будет заинтересованные люди. А у них другие интересы.
Предложи IANA свой счётчик. Ух, заживём тогда. Можно будет решить проблему с нехваткой IPv4 используя адреса после 255.255.255.255. Я себе 666.0.0.0/8 сразу же возьму.
и прямой подлог в отношении ESP32 не помог, что ты будешь делать
Извините, а не могли бы раскрыть мысль
Что вы имеете ввиду?
Одни испанцы-безопасники решили поиграть в рэкетиров и объявили, что нашли в ESP32 бэкдор. Бэкдора не нашлось (нашлись служебные команды без удалённого доступа), но осадочек остался:
1) а чего эти желтокожие из Espressif в натуре, а? пусть извиняются.
2) испанцы продемонстрировали свою полезность, MITRE тоже ухватился за возможность продемонстрировать свою полезность и открыл CVE
https://www.opennet.dev/opennews/art.shtml?num=62852
Это какие-то спекуляции. Есть исследование, есть рабочий эксплоит, есть описание. Всего этого достаточно для открытия CVE.
Если выясняется, что исследование не соответствует действительности или выполнено нарушение - пишется жалоба, поступает опровержение.
Это процесс, он не может работать на уровне "аноним сказал, что точно брехня".
Гражданин спекулянт, вы даже не читали новость:
> дополнение: в обновлённом анонсе исследователи убрали текст про бэкдорВыдумываете на ходу рабочие эксплоиты и их необходимость, MITRE этого не требует[1].
> пишется жалоба, поступает опровержение
Жалоба на что? На то, что команды и правда не задокументированы? Или на то, что команды без документации от более уважаемых людей (AMD, NVidia, Phison) в CVE не попадут?
[1] "From a security perspective, even when the functionality is not intentionally malicious or damaging, it can increase the product's attack surface..."
Давайте ещё Arduino приплетём сюда.
Ну, не гольф же у патрона сворачивать, да?
В пентагоне разогнали айтишный "SWAT team of nerds".
Щас как раз университеты подприжать, как тому же Гарврду (минус таксфри, остановка дотаций) осталось и все, подеба!
Собственно, толку от сабжа никакого не было. Часть распиаренных уязвимостей попадала в этот перечень, но что дальше? Сколько раз было, что, вроде, должно быть уязвимым, а на деле, в дистрибутиве давно пропатчено сопровождающими. Разве что исторический интерес с информацией о некоторых громких случаях.
Вы путайте мягкое с тёплым. Назовите хоть одну известную уязвимость для которой не был присвоен CVE.
Я не найду, но присваивали их далеко не всем и не всегда. Часто, вроде как присваивали, но публично не доступно. Понятно, в чьих интересах зеродеи.
Не назову, потому что мне заплатили. Но я сообщал об уязвимостях разработчикам, их правили, но не публиковали. То есть с точки зрения пользователей уязвимостей и не было. А мне пофиг, я бабло получил и остальное меня не касается.И я такой точно не один.
Первое попавшееся https://bugzilla.altlinux.org/show_bug.cgi?id=38212#c2
и лучше, чтобы у каждой был CVE, это сразу упрощает поиск и идентификацию, все-таки хоть кто-то обратил внимание и проанализировал суть уязвимости, плюс глобальные базы на проверки версий подверженности тем или иным CVE
В том случае слишком много анализировать.
>Предполагается, что если не будут найдены альтернативные пути поддержания программыЖить на пожертвования, оставив 10 человек.
Евросоюз мог бы скинуться.
Возможно, Китай профинансирует. Где-то слышал, что бывшие работники USAID уже частично перехвачены Китаем. А великий донни пусть продолжает клоуничать курам на смех.
А вот и последствия "смены власти".
Если предыдущие хотели избавиться от CVE путем внедрения более современных ЯП, то эти просто заметают под ковер.
Нет публикаций - нет CVE))
Как раз, внедрением новых молодёжных ЯП хотели избавиться от CVE имено путём заметания: нет видимых проблем - нет CVE.
А на этих CVE появились кучка паразитирующих бизнесов, предлагающих как бы софт для проверки кода на уязвимости. Который вместо действительно анализа кода просто триггерится на зависимости, к которым приписали какие-то номерки CVE. Безотносительно как эти зависимости задействованы в проекте. Но манагеры-то покупают, и ведутся, и разрабам бестолковых задачек накидывают..
Разбираться как эти зависимости используются в проекте — прямая задача разработчиков, а не менеджеров или, тем более, вендоров. Менеджер — по крайней мере хороший, как я, например, — скажет разобраться как вон те уязвимости влияют на нашу безопасность, а не беги бегом апдейти всё вчера. И ответ может быть от «никак и вот почему» до «апдейт накачен, индикаторов взлома не обнаружено». А то, что тебе тасочек в джиру накидали, так тебе за них зарплатку платят. Не нравится — найди место где не накидывают, делов-то.
Так разработчики без тебя и разбирутся. Если не соображаешь - то доверься команде, и не лезь с прикручичанием всяких автоматических валидаторов к проекту.
И да, манагеры "беги бегом апдейти всё вчера" не глядя - тоже встречаются.
Программисты - самые ленивые хомячки в ИТ-индустрии. Пока не пнешь, не тыкнешь носом, не заставишь хотя бы в суть дела вникнуть - они и пальцем не поведут. Уж кому-кому, а программистам вопросы информационной безопасности доверять нельзя. Будешь доверять своей команде - они тебе на шею сядут и ножки свесят. Так что "беги бегом апдейти всё вчера, пока пайплан зеленым не станет".
У крупных контор есть служба безопасности. И они нередко проверяют написанное программистами корпоративное ПО на наличие дыр. Но, поскольку модулей и ЯП используется много и разных для разных продуктов, разумеется, в самом коде они копаться едва ли будут ибо тупо не понимают его.
В итоге - просто прогоняют скриптом проверку несколькими осн. продуктами, которые сканируют пакеты/модули в плане их версий и известных уязвимостей.
В итоге, могут запросто запретить релиз из-за какой-то ерунды в каком-то из модулей, который практически не используется, но допустить к релизу сборку, в рамках которой логины-пароли пользователей отправляются по неизвестному адресу
Или в принципе допустить релиз с новыми версиями дырявых пакетов но тупо потому, что версии слишком новые и о дырах в них пока что ничего неизвестно( т.е формально их как бы нет, хотя может быть даже больше, в т.ч умышленных и в зависимости от региона/осн языка итд итп )
- Разбираться как эти зависимости используются в проекте — прямая задача разработчиковА теперь расскажите это пишущим на хрустах, питонах и нодежс :D
Какие ещё последствия? Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США?
> Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США?Да, хочу. Мне, как русскому человеку, совсем не жалко денег налогоплательщиков США. =)
Опачки, новые оптимизации правительства от господина Илона Маска снова делают мир лучше!
Его же вроде бы отстранили?
ну конечно, а деньги на строительства в секторе газа откуда еще взять, 300 лярдов уже выделили.
Openwall FTW )
Не, так-то уязвимости в базу тоже попадают.
Но там похоже давно поставили робот, тянущий в CVE коммиты со всяких git.kernel.org по каким-то признакам. Который кожаные мешки вообще проверять забили.
Вот вам немножко за 2025:
- CVE-2025-21646: Если есть AFS (и рутовые права), её можно повредить.
- CVE-2025-21678: Устройство GTP ("GPRS Tunneling Protocol") создаётся не в том namespace. Не эксплуатируемо, на мой взгляд.
- CVE-2025-21694: "Чтобы убить таракана, нужно его поймать и втереть под хвост наше патентованное средство." (Можно добиться softlockup, делая kdump.)Ни "Vulnerability" ни "Exposure" как-то не наблюдается. Баги — да. Но не CVE.
>которое уже привело к увольнению более 400 сотрудников в этом месяцеА чем они собственно занимались?
> которое уже привело к увольнению более 400 сотрудников в этом месяцеА обвиняют других в бюрократии...
Нужна международная база уязвимостей, например, на базе ООН или БРИКС. Это надежнее, чем какая-то организация спонсированная из бюджета отдельно взятой страны, они и некоторых бекдоров могут тупо специально не замечать, пока их носом не ткнут.
оон тоже как бы "организация спонсированная из бюджета отдельно взятой страны".
брикс это тоже тот ещё курятник где каждый тянет одеяло на себя.
Нет место получше. Было бы - давно бы свалили
Да и смысл, интернет там изобрели и курируют. Кормят опять же.
"Таити, Таити, нас и тут неплохо кормят", как говорится)
https://en.wikipedia.org/wiki/Mitre_Corporation>> In February 2020, MITRE launched SQUINT, a free app allowing election officials to report misinformation on social media;
Не конторка, а отдел спецслужб. Да еще и "нон-профит". Мда. Закрыли финансы за то что деньги отмывала и в политику лезла, но плакаться она будет о том, на что ее 0.01% бюджета шли.