Sobrehttps://wiki.ubuntu.com/SecurityTeam, diz que os CVEs são corrigidos e depois retirados. Qual é a diferença entre fixo e aposentado? Quando um CVE é chamado de aposentado?
Responder1
Na verdade diz:
À medida que os problemas são corrigidos, os CVEs são atualizados e retirados.
Fixosignifica que a vulnerabilidade foi fechada (geralmente por um patch) e o pacote corrigido foi carregado nos repositórios do Ubuntu.
Atualizadasignifica que o registro CVE/USN no rastreador emhttps://security.ubuntu.comé atualizado para refletir a disposição final.
Aposentadosignifica que o CVE é considerado resolvido, nenhum trabalho adicional será feito sobre ele. Existem várias resoluções possíveis para um CVE: Fixo, Não Corrigido, Não Aplicável, etc.
Se um bug for descoberto em um patch CVE, o CVE não será reaberto. Um novo relatório de bug e/ou CVE é aberto.