详细内容或原文请订阅后点击阅览
Fedor Indutny:虚假 CVE 破坏开源项目
一位 Node.js 开发人员批评该系统分配 CVE 标识符。
来源:安全实验室新闻频道一位 Node.js 开发人员批评该系统分配 CVE 标识符。
Fedor Indutny,Io.js 平台(Node.js 的一个分支)的作者和 Node.js 开发技术委员会的成员,提出了为错误报告分配 CVE 标识符的问题,这些错误报告与真实的威胁或严重程度不符。
Node.js 提出了有关该问题的问题Indutny 提请注意这样一个事实:CVE 标识符的分配没有经过适当的验证,也没有与开发人员协商,这使得攻击者可以将小错误冒充为严重漏洞。
虚假 CVE ID 会损害项目的声誉,并给被迫处理与此类 CVE 相关的大量请求和消息的开发人员造成沉重负担。特别有问题的是,开发人员无法质疑指定的严重性级别或推翻 CVE。
Indutny 描述的具体案例涉及 Node.js 的 node-ip 库,在漏洞报告发布之前,该库的每周下载量约为 3000 万次,但之后下载量已降至每周 1700 万次。 5个月。假设关键漏洞报告影响了该库的受欢迎程度。
节点 IPNode-ip 在超过 3500 个项目中使用,并且由于伪造的 CVE,在构建项目时,运行“npmaudit”命令时会出现警告。大量的投诉和消息导致,经过几个月的尝试降低 CVE 的危险级别后,node-ip 开发人员将项目切换到存档模式。几天后,存储库已恢复。
CVE-2023-42282 漏洞报告于 2 月初发布,尽管发现该问题的研究人员自 2022 年 12 月以来一直试图在 Huntr 平台上收集赏金。该报告称,Huntr 在公开披露详细信息之前尝试联系 Node-IP 开发人员一年多来解决该问题。
CVE-2023-42282 CVE-2024-5261