CVEs¶
通用漏洞披露 (CVE®) 編號的開發旨在以明確的方式識別、定義和編目公開披露的安全漏洞。然而,隨著時間的推移,它們在核心專案方面的作用有所下降,CVE 編號經常以不適當的方式和出於不適當的原因被分配。正因如此,核心開發社群傾向於避免使用它們。然而,持續存在的分配 CVE 和其他形式安全識別符號的壓力,以及核心社群之外的個人和公司持續的濫用行為,使得核心社群有必要掌控這些分配過程。
Linux 核心開發者團隊確實有能力為潛在的 Linux 核心安全問題分配 CVE。此分配獨立於正常的 Linux 核心安全漏洞報告流程。
Linux 核心所有已分配 CVE 的列表可在 linux-cve 郵件列表的存檔中找到,具體請參閱 https://lore.kernel.org/linux-cve-announce/。若要獲取已分配 CVE 的通知,請訂閱該郵件列表。
流程¶
作為正常穩定版本釋出流程的一部分,潛在的安全問題核心變更會由負責 CVE 編號分配的開發者識別,並自動為其分配 CVE 編號。這些分配會頻繁地以公告形式釋出到 linux-cve-announce 郵件列表。
請注意,由於 Linux 核心在系統中的層級,幾乎任何錯誤都可能被利用來損害核心的安全性,但漏洞修復時通常不明顯其可利用性。因此,CVE 分配團隊非常謹慎,併為他們識別的任何錯誤修復分配 CVE 編號。這解釋了 Linux 核心團隊釋出的 CVE 數量看似龐大的原因。
如果 CVE 分配團隊遺漏了任何使用者認為應分配 CVE 的特定修復,請透過 <cve@kernel.org> 聯絡他們,團隊將與您合作處理。請注意,不應將潛在的安全問題傳送到此別名,它僅用於為已釋出核心樹中的修復分配 CVE。如果您認為自己發現了未修復的安全問題,請遵循正常的 Linux 核心安全漏洞報告流程。
對於 Linux 核心中未修復的安全問題,不會自動分配 CVE;只有在修復可用並應用於穩定核心樹後,才會自動分配,並透過原始修復的 git 提交 ID 進行跟蹤。如果任何人在問題透過提交解決之前希望分配 CVE,請透過 <cve@kernel.org> 聯絡核心 CVE 分配團隊,從他們保留的識別符號批次中獲取一個識別符號。
對於在 Stable/LTS 核心團隊目前未積極支援的核心版本中發現的任何問題,將不會分配 CVE。目前受支援的核心分支列表可在 https://kernel.linux.club.tw/releases.html 找到。
已分配 CVE 的爭議¶
對特定核心變更的已分配 CVE 提出異議或修改的許可權,僅屬於受影響的相關子系統的維護者。此原則確保了漏洞報告的高度準確性和問責制。只有對子系統擁有深厚專業知識和深入瞭解的人員,才能有效評估所報告漏洞的有效性和範圍,並確定其適當的 CVE 指定。任何未經指定許可權嘗試修改或爭議 CVE 的行為,都可能導致混亂、不準確的報告,並最終導致系統受損。
無效的 CVE¶
如果在 Linux 核心中發現安全問題,且該核心僅由某個 Linux 發行版因其自身所做的更改而支援,或者該發行版支援的核心版本不再是 kernel.org 支援的版本之一,則 Linux 核心 CVE 團隊無法分配 CVE,必須向該 Linux 發行版本身請求。
任何由核心分配 CVE 團隊之外的任何組織,為正在積極支援的核心版本分配的 Linux 核心 CVE,均不應被視為有效的 CVE。請透過 <cve@kernel.org> 通知核心 CVE 分配團隊,以便他們透過 CNA 修復流程來使此類條目失效。
特定 CVE 的適用性¶
由於 Linux 核心可以以多種不同方式使用,外部使用者也可以透過多種不同方式訪問它,或者完全無法訪問,因此任何特定 CVE 的適用性由 Linux 使用者自行決定,而不是由 CVE 分配團隊決定。請勿聯絡我們試圖確定任何特定 CVE 的適用性。
此外,由於原始碼樹非常龐大,並且任何一個系統都只使用原始碼樹的一小部分,因此 Linux 使用者應該知道,大量的已分配 CVE 與其系統無關。
簡而言之,我們不瞭解您的使用案例,也不瞭解您使用的核心部分,因此我們無法確定特定 CVE 是否與您的系統相關。
一如既往,最好接受所有已釋出的核心更改,因為它們是由許多社群成員作為一個統一整體進行測試的,而不是單獨挑選的更改。另請注意,對於許多錯誤,整體問題的解決方案並非來自單一更改,而是來自許多相互疊加的修復的總和。理想情況下,所有問題的所有修復都將分配 CVE,但有時我們會未能注意到某些修復,因此請假定一些未分配 CVE 的更改可能也值得采用。