2014年に発見された脆弱性にコードCVE-2010-5298が使用されるのはなぜですか?
OpenSSL脆弱性リスト を調べていたところ、2014年の脆弱性としてCVE-2010-5298に遭遇しました。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298 の作成日エントリの下に、と表示されます20140414。
ただし、 http://cve.mitre.org/cve/identifiers/syntaxchange.html の下では、そのフォーマットがCVE-YYYY-NNNN:
CVE-ID構文の変更は、2014年1月1日に発効しました。
新しいCVE-ID構文
新しいCVE-ID構文は可変長で、次のものが含まれます。
CVEプレフィックス+年+任意の数字
[〜#〜]重要[〜#〜]:可変長の任意の数字は4つの固定数字で始まり、任意の数字のみで拡張されます暦年に必要な場合、たとえば
CVE-YYYY-NNNNおよび必要に応じてCVE-YYYY-NNNNN、CVE-YYYY-NNNNNNN、 等々。これは、以前に割り当てられたCVE-IDを変更する必要がないことも意味します。これにはすべて4桁が含まれます。
年は常にCVEコードに反映されると思いました。この場合、何が起こりましたか?これはよくあることですか?
これは、この脆弱性が2010年に実際に最初に発見されたため(たとえそれがセキュリティ上の問題として報告されていなくても、バグとして)、ハートブリードがラクダを壊すストローになった後、Ted Unangstによって2014年に再び発見されたためです。今回は、セキュリティに関連する問題として正しく特定されました。
元のバグレポート: https://rt.openssl.org/Ticket/Display.html?id=2167&user=guest&pass=guest