CVE¶
通用漏洞披露 (CVE®) 编号的开发是为了以明确的方式识别、定义和编目公开披露的安全漏洞。随着时间的推移,它们在内核项目中的实用性有所下降,并且 CVE 编号经常以不恰当的方式和不恰当的原因分配。因此,内核开发社区倾向于避免使用它们。然而,持续施加分配 CVE 和其他形式的安全标识符的压力,以及内核社区之外的个人和公司持续滥用,都清楚地表明内核社区应该控制这些分配。
Linux 内核开发团队确实有能力为潜在的 Linux 内核安全问题分配 CVE。此分配独立于正常的 Linux 内核安全错误报告流程。
可以在 linux-cve 邮件列表的存档中找到 Linux 内核的所有已分配 CVE 的列表,如 https://lore.kernel.org/linux-cve-announce/ 所示。要收到已分配 CVE 的通知,请订阅该邮件列表。
流程¶
作为正常稳定版本发布过程的一部分,负责 CVE 编号分配的开发人员会识别出潜在的安全问题的内核更改,并自动为其分配 CVE 编号。这些分配会定期在 linux-cve-announce 邮件列表上发布公告。
请注意,由于 Linux 内核在系统中所处的层次,几乎任何错误都可能被利用来危害内核的安全性,但当错误修复时,利用的可能性通常并不明显。因此,CVE 分配团队过于谨慎,并为他们识别的任何错误修复分配 CVE 编号。这解释了 Linux 内核团队发布的 CVE 数量似乎很大的原因。
如果 CVE 分配团队遗漏了任何用户认为应该分配 CVE 的特定修复,请通过电子邮件发送至 <cve@kernel.org>,那里的团队会与您合作解决。请注意,不应将任何潜在的安全问题发送到此别名,它仅用于为已在已发布的内核树中的修复分配 CVE。如果您认为发现了未修复的安全问题,请遵循正常的 Linux 内核安全错误报告流程。
不会为 Linux 内核中未修复的安全问题自动分配 CVE;只有在修复可用并应用于稳定的内核树后才会自动进行分配,并且将通过原始修复的 git 提交 id 进行跟踪。如果任何人在问题通过提交解决之前希望分配 CVE,请联系内核 CVE 分配团队,电子邮件地址为 <cve@kernel.org>,以便从他们的保留标识符批次中获取一个标识符。
不会为在当前未被稳定/LTS 内核团队积极支持的内核版本中发现的任何问题分配 CVE。当前支持的内核分支列表可以在 https://linuxkernel.org.cn/releases.html 上找到
已分配 CVE 的争议¶
对于特定的内核更改,争议或修改已分配 CVE 的权限仅在于受影响的相关子系统的维护者。此原则确保了漏洞报告的高度准确性和责任性。只有那些对子系统具有深入专业知识和了解的人员才能有效地评估报告的漏洞的有效性和范围,并确定其适当的 CVE 指定。任何试图在指定权限之外修改或争议 CVE 的行为都可能导致混淆、不准确的报告,并最终导致系统受损。
无效 CVE¶
如果在 Linux 发行版支持的 Linux 内核中发现安全问题,原因是该发行版所做的更改,或者由于该发行版支持的内核版本不再是 kernel.org 支持的版本之一,则 Linux 内核 CVE 团队无法分配 CVE,必须向该 Linux 发行版本身请求 CVE。
任何由内核分配 CVE 团队以外的任何组,为积极支持的内核版本分配的针对 Linux 内核的 CVE,都不应被视为有效的 CVE。请通过电子邮件 <cve@kernel.org> 通知内核 CVE 分配团队,以便他们可以通过 CNA 补救流程使此类条目无效。
特定 CVE 的适用性¶
由于 Linux 内核可以以多种不同的方式使用,外部用户可以通过多种不同的方式访问它,或者根本无法访问它,因此任何特定 CVE 的适用性都取决于 Linux 用户来确定,而不是取决于 CVE 分配团队。请不要联系我们试图确定任何特定 CVE 的适用性。
此外,由于源代码树非常庞大,并且任何一个系统仅使用源代码树的一小部分,因此任何 Linux 用户都应该意识到,大量已分配的 CVE 与其系统无关。
简而言之,我们不知道您的用例,也不知道您使用的内核部分,因此我们无法确定特定 CVE 是否与您的系统相关。
与往常一样,最好采用所有发布的内核更改,因为它们由许多社区成员作为一个统一的整体进行测试,而不是作为单独挑选的更改。另请注意,对于许多错误,整体问题的解决方案不是在单个更改中找到的,而是通过相互叠加的许多修复的总和来实现的。理想情况下,CVE 将分配给所有问题的全部修复,但有时我们会忽略修复,因此请假设某些未分配 CVE 的更改可能与采用相关。