0

我不确定相应的 CVE 是否总是有补丁?

如果patch_a没有正确修复 CVE,然后来了patch_b,那么有两个补丁可以修复某个 CVE。在这种情况下,CVE 参考是否会更新?

4

1 回答 1

1

要给出正确答案,我们必须检查 CVE 发布过程,

首先,发现漏洞的人必须将其告知受影响产品的编辑。之后,编辑器有一段时间提供补丁。在此期间之后,漏洞将被发布。

通常编辑器已经创建了补丁,发布 CVE 的网站会给出补丁的链接。但有时,在这段时间之后没有补丁。有时编辑器决定不提供补丁。很多原因:

  • 不支持受影响的产品;
  • 编辑没有足够的时间提供补丁。因此,可能找不到 CVE 的补丁。

对于第二个问题,通常,当补丁无法正确修复漏洞时,会使用新补丁创建第二个 CVE ID。

于 2020-09-21T09:35:14.687 回答