我正在看https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.trusty.cve.oval.xml
这里,对于 CVE-2017-5638,严重性设置为“中” https://people.canonical.com/~ubuntu-security/cve/2017/CVE-2017-5638.html
这是不正确的。根据 NVD,严重性应为“高”。
这是打字错误吗?或者是为什么尽管 NVD 已将其标记为“高”,但仍将其设置为“中”?
答案1
CVE 跟踪器没有严重程度. 它有优先事项,并将其设置为安全团队认为修复该问题的重要性的优先级。
详细信息请参见Ubuntu CVE 跟踪器 README 文件,您确实应该考虑阅读它,因为它提供了更好的见解。
Marc Deslauriers 在 IRC 上对我的代理询问做出了如下回复:
mdeslaur> 我们没有严重性,我们有“优先级”,它基于我们如何确定工作的优先级,而不是基于安全问题的影响
mdeslaur>此外,该特定问题中的包在宇宙中,大多数情况下优先级默认为“中等”,除非有人贡献更好的东西
不过,就所讨论的包而言,它是在 Universe 中,并且我认为“Medium”通常是默认的。