Наhttps://wiki.ubuntu.com/SecurityTeam, там говорится, что CVE фиксируются, а затем снимаются с производства. В чем разница между фиксированными и снимаемыми с производства? Когда CVE называется снимаемым с производства?
решение1
На самом деле там говорится:
По мере устранения проблем CVE обновляются и удаляются.
Зафиксированныйозначает, что уязвимость была закрыта (обычно с помощью патча), а исправленный пакет был загружен в репозитории Ubuntu.
Обновленоозначает, что запись CVE/USN на трекереhttps://security.ubuntu.comобновляется с целью отражения окончательного решения.
Ушедший на пенсиюозначает, что CVE считается решенной, дальнейшая работа над ней проводиться не будет. Существует несколько возможных решений CVE: Исправлено, Не будет исправлено, Не применимо и т. д.
Если в патче CVE обнаружена ошибка, CVE не открывается повторно. Открывается новый отчет об ошибке и/или CVE.