Anhttps://wiki.ubuntu.com/SecurityTeamheißt es, dass CVEs behoben und dann außer Dienst gestellt werden. Was ist der Unterschied zwischen behoben und außer Dienst gestellt? Wann wird ein CVEs als außer Dienst gestellt bezeichnet?
Antwort1
Da steht eigentlich:
Wenn Probleme behoben sind, werden die CVEs aktualisiert und außer Betrieb gesetzt.
Festbedeutet, dass die Sicherheitslücke geschlossen wurde (normalerweise durch einen Patch) und das gepatchte Paket in die Ubuntu-Repositorys hochgeladen wurde.
Aktualisiertbedeutet, dass der CVE/USN-Eintrag auf dem Tracker beihttps://security.ubuntu.comwird aktualisiert, um die endgültige Verfügung widerzuspiegeln.
Im Ruhestandbedeutet, dass das CVE als behoben gilt und nicht weiter daran gearbeitet wird. Es gibt mehrere mögliche Lösungen für ein CVE: Behoben, Wird nicht behoben, Nicht zutreffend usw.
Wenn in einem CVE-Patch ein Fehler entdeckt wird, wird der CVE nicht erneut geöffnet. Es wird ein neuer Fehlerbericht und/oder ein neuer CVE geöffnet.