Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"MITRE не получил финансирование для продолжения ведения базы CVE-индентификаторов уязвимостей"	+/–
Сообщение от opennews (??), 16-Апр-25, 09:33
Правительство США не продлило контракт с организацией MITRE,  связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63085
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "MITRE не получил финансирование для ведения базы CVE-инденти..."	+15 +/–
Сообщение от Аноним (1), 16-Апр-25, 09:33
Ну уж счетчик новых записей без коллизий наладят как-нибудь и без министерства по выделению идентификаторов...
Ответить | Правка | Наверх | Cообщить модератору

	22. "MITRE не получил финансирование для ведения базы CVE-инденти..."	+11 +/–
	Сообщение от laindono (ok), 16-Апр-25, 10:11
	Предлагаю на базе рандомного UUID. Впрочем лично мне не очень понятно, чем там в принципе 400 человек занимались.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "MITRE не получил финансирование для ведения базы CVE-инденти..."	+/–
	Сообщение от n00by (ok), 16-Апр-25, 10:30
	> не очень понятно, чем > там в принципе 400 человек занимались. Уязвимость "нулевого дня" остаётся таковой, пока о ней мало кто знает. 400 могут не только ускорить распространение, но и создать существенную задержку.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "MITRE не получил финансирование для ведения базы CVE-инденти..."	+14 +/–
	Сообщение от onanim (?), 16-Апр-25, 10:35
	>     чем там в принципе 400 человек занимались. разгребанием нескончаемого потока фейковых уязвимостей от индусов и пакистанцев, рисующих CVEшки себе в резюме.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	46. "MITRE не получил финансирование для ведения базы CVE-инденти..."	+/–
	Сообщение от Аноним (46), 16-Апр-25, 11:50
	Ошибки в CoC тоже уязвимости?
	Ответить | Правка | Наверх | Cообщить модератору

	31. "MITRE не получил финансирование для ведения базы CVE-инденти..."	+/–
	Сообщение от Аноним (31), 16-Апр-25, 10:37
	Ага только добавлять в этот счётчик будет заинтересованные люди. А у них другие интересы.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	76. "MITRE не получил финансирование для ведения базы CVE-инденти..."	+/–
	Сообщение от Аноним (76), 16-Апр-25, 18:16
	Предложи IANA свой счётчик. Ух, заживём тогда. Можно будет решить проблему с нехваткой IPv4 используя адреса после 255.255.255.255. Я себе 666.0.0.0/8 сразу же возьму.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "MITRE не получил финансирование для продолжения ведения базы..."	+3 +/–
Сообщение от х (?), 16-Апр-25, 09:41
и прямой подлог в отношении ESP32 не помог, что ты будешь делать
Ответить | Правка | Наверх | Cообщить модератору

	39. "MITRE не получил финансирование для продолжения ведения базы..."	+3 +/–
	Сообщение от Аноним (39), 16-Апр-25, 11:10
	Извините, а не могли бы раскрыть мысль Что вы имеете ввиду?
	Ответить | Правка | Наверх | Cообщить модератору

	65. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
	Сообщение от Аноним (65), 16-Апр-25, 15:56
	Одни испанцы-безопасники решили поиграть в рэкетиров и объявили, что нашли в ESP32 бэкдор. Бэкдора не нашлось (нашлись служебные команды без удалённого доступа), но осадочек остался: 1) а чего эти желтокожие из Espressif в натуре, а? пусть извиняются. 2) испанцы продемонстрировали свою полезность, MITRE тоже ухватился за возможность продемонстрировать свою полезность и открыл CVE https://www.opennet.me/opennews/art.shtml?num=62852
	Ответить | Правка | Наверх | Cообщить модератору

	68. "MITRE не получил финансирование для продолжения ведения базы..."	–1 +/–
	Сообщение от Аноним (68), 16-Апр-25, 16:26
	Это какие-то спекуляции. Есть исследование, есть рабочий эксплоит, есть описание. Всего этого достаточно для открытия CVE. Если выясняется, что исследование не соответствует действительности или выполнено нарушение - пишется жалоба, поступает опровержение. Это процесс, он не может работать на уровне "аноним сказал, что точно брехня".
	Ответить | Правка | Наверх | Cообщить модератору

	73. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (65), 16-Апр-25, 17:01
	Гражданин спекулянт, вы даже не читали новость: > дополнение: в обновлённом анонсе исследователи убрали текст про бэкдор Выдумываете на ходу рабочие эксплоиты и их необходимость, MITRE этого не требует[1]. > пишется жалоба, поступает опровержение Жалоба на что? На то, что команды и правда не задокументированы? Или на то, что команды без документации от более уважаемых людей (AMD, NVidia, Phison) в CVE не попадут? [1] "From a security perspective, even when the functionality is not intentionally malicious or damaging, it can increase the product's attack surface..."
	Ответить | Правка | Наверх | Cообщить модератору

	47. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (46), 16-Апр-25, 11:53
	Давайте ещё Arduino приплетём сюда.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

7. Скрыто модератором	+1 +/–
Сообщение от Жироватт (ok), 16-Апр-25, 09:54
Ну, не гольф же у патрона сворачивать, да? В пентагоне разогнали айтишный "SWAT team of nerds". Щас как раз университеты подприжать, как тому же Гарврду (минус таксфри, остановка дотаций) осталось и все, подеба!
Ответить | Правка | Наверх | Cообщить модератору

10. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
Сообщение от Аноним (10), 16-Апр-25, 09:57
Собственно, толку от сабжа никакого не было. Часть распиаренных уязвимостей попадала в этот перечень, но что дальше? Сколько раз было, что, вроде, должно быть уязвимым, а на деле, в дистрибутиве давно пропатчено сопровождающими. Разве что исторический интерес с информацией о некоторых громких случаях.
Ответить | Правка | Наверх | Cообщить модератору

	13. "MITRE не получил финансирование для продолжения ведения базы..."	–1 +/–
	Сообщение от Аноним (13), 16-Апр-25, 10:01
	Вы путайте мягкое с тёплым. Назовите хоть одну известную уязвимость для которой не был присвоен CVE.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "MITRE не получил финансирование для продолжения ведения базы..."	–1 +/–
	Сообщение от Аноним (10), 16-Апр-25, 10:06
	Я не найду, но присваивали их далеко не всем и не всегда. Часто, вроде как присваивали, но публично не доступно. Понятно, в чьих интересах зеродеи.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (37), 16-Апр-25, 11:05
	Не назову, потому что мне заплатили. Но я сообщал об уязвимостях разработчикам, их правили, но не публиковали. То есть с точки зрения пользователей уязвимостей и не было. А мне пофиг, я бабло получил и остальное меня не касается. И я такой точно не один.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	42. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от n00by (ok), 16-Апр-25, 11:17
	Первое попавшееся https://bugzilla.altlinux.org/show_bug.cgi?id=38212#c2
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	55. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от penetrator (?), 16-Апр-25, 13:11
	и лучше, чтобы у каждой был CVE, это сразу упрощает поиск и идентификацию, все-таки хоть кто-то обратил внимание и проанализировал суть уязвимости, плюс глобальные базы на проверки версий подверженности тем или иным CVE
	Ответить | Правка | Наверх | Cообщить модератору

	78. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от n00by (ok), 16-Апр-25, 18:30
	В том случае слишком много анализировать.
	Ответить | Правка | Наверх | Cообщить модератору

23. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
Сообщение от Аноним (23), 16-Апр-25, 10:16
>Предполагается, что если не будут найдены альтернативные пути поддержания программы Жить на пожертвования, оставив 10 человек.
Ответить | Правка | Наверх | Cообщить модератору

	49. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (46), 16-Апр-25, 12:02
	Евросоюз мог бы скинуться.
	Ответить | Правка | Наверх | Cообщить модератору

27. Скрыто модератором	–1 +/–
Сообщение от Аноним (27), 16-Апр-25, 10:29
Возможно, Китай профинансирует. Где-то слышал, что бывшие работники USAID уже частично перехвачены Китаем. А великий донни пусть продолжает клоуничать курам на смех.
Ответить | Правка | Наверх | Cообщить модератору

35. "MITRE не получил финансирование для продолжения ведения базы..."	+2 +/–
Сообщение от Аноним (-), 16-Апр-25, 10:54
А вот и последствия "смены власти". Если предыдущие хотели избавиться от CVE путем внедрения более современных ЯП, то эти просто заметают под ковер. Нет публикаций - нет CVE))
Ответить | Правка | Наверх | Cообщить модератору

	50. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (46), 16-Апр-25, 12:08
	Как раз, внедрением новых молодёжных ЯП хотели избавиться от CVE имено путём заметания: нет видимых проблем - нет CVE.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
	Сообщение от Аноним (57), 16-Апр-25, 14:06
	А на этих CVE появились кучка паразитирующих бизнесов, предлагающих как бы софт для проверки кода на уязвимости. Который вместо действительно анализа кода просто триггерится на зависимости, к которым приписали какие-то номерки CVE. Безотносительно как эти зависимости задействованы в проекте. Но манагеры-то покупают, и ведутся, и разрабам бестолковых задачек накидывают..
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	77. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (76), 16-Апр-25, 18:29
	Разбираться как эти зависимости используются в проекте — прямая задача разработчиков, а не менеджеров или, тем более, вендоров. Менеджер — по крайней мере хороший, как я, например, — скажет разобраться как вон те уязвимости влияют на нашу безопасность, а не беги бегом апдейти всё вчера. И ответ может быть от «никак и вот почему» до «апдейт накачен, индикаторов взлома не обнаружено». А то, что тебе тасочек в джиру накидали, так тебе за них зарплатку платят. Не нравится — найди место где не накидывают, делов-то.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (57), 16-Апр-25, 20:17
	Так разработчики без тебя и разбирутся. Если не соображаешь - то доверься команде, и не лезь с прикручичанием всяких автоматических валидаторов к проекту. И да, манагеры "беги бегом апдейти всё вчера" не глядя - тоже встречаются.
	Ответить | Правка | Наверх | Cообщить модератору

	84. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от anonymous (??), 16-Апр-25, 20:25
	Программисты - самые ленивые хомячки в ИТ-индустрии. Пока не пнешь, не тыкнешь носом, не заставишь хотя бы в суть дела вникнуть - они и пальцем не поведут. Уж кому-кому, а программистам вопросы информационной безопасности доверять нельзя. Будешь доверять своей команде - они тебе на шею сядут и ножки свесят. Так что "беги бегом апдейти всё вчера, пока пайплан зеленым не станет".
	Ответить | Правка | Наверх | Cообщить модератору

	58. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (58), 16-Апр-25, 14:34
	Какие ещё последствия? Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США?
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	59. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от freehck (ok), 16-Апр-25, 14:47
	> Вы хотите поддерживать всякие программы, при этом не щедя денег налогоплательщиков США? Да, хочу. Мне, как русскому человеку, совсем не жалко денег налогоплательщиков США. =)
	Ответить | Правка | Наверх | Cообщить модератору

52. "MITRE не получил финансирование для продолжения ведения базы..."	+2 +/–
Сообщение от Аноним (52), 16-Апр-25, 12:12
Опачки, новые оптимизации правительства от господина Илона Маска снова делают мир лучше!
Ответить | Правка | Наверх | Cообщить модератору

	53. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (53), 16-Апр-25, 12:21
	Его же вроде бы отстранили?
	Ответить | Правка | Наверх | Cообщить модератору

	66. "MITRE не получил финансирование для продолжения ведения базы..."	–1 +/–
	Сообщение от Аноним (66), 16-Апр-25, 16:22
	ну конечно, а деньги на строительства в секторе газа откуда еще взять, 300 лярдов уже выделили.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

54. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
Сообщение от qweo (?), 16-Апр-25, 12:41
Openwall FTW )
Ответить | Правка | Наверх | Cообщить модератору

56. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
Сообщение от PnD (??), 16-Апр-25, 13:33
Не, так-то уязвимости в базу тоже попадают. Но там похоже давно поставили робот, тянущий в CVE коммиты со всяких git.kernel.org по каким-то признакам. Который кожаные мешки вообще проверять забили. Вот вам немножко за 2025: - CVE-2025-21646: Если есть AFS (и рутовые права), её можно повредить. - CVE-2025-21678: Устройство GTP ("GPRS Tunneling Protocol") создаётся не в том namespace. Не эксплуатируемо, на мой взгляд. - CVE-2025-21694: "Чтобы убить таракана, нужно его поймать и втереть под хвост наше патентованное средство." (Можно добиться softlockup, делая kdump.) Ни "Vulnerability" ни "Exposure" как-то не наблюдается. Баги — да. Но не CVE.
Ответить | Правка | Наверх | Cообщить модератору

61. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
Сообщение от Аноним (61), 16-Апр-25, 15:11
>которое уже привело к увольнению более 400 сотрудников в этом месяце А чем они собственно занимались?
Ответить | Правка | Наверх | Cообщить модератору

74. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
Сообщение от Аноним (74), 16-Апр-25, 17:09
> которое уже привело к увольнению более 400 сотрудников в этом месяце А обвиняют других в бюрократии...
Ответить | Правка | Наверх | Cообщить модератору

82. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
Сообщение от myster (ok), 16-Апр-25, 19:28
Нужна международная база уязвимостей, например, на базе ООН или БРИКС. Это надежнее, чем какая-то организация спонсированная из бюджета отдельно взятой страны, они и некоторых бекдоров могут тупо специально не замечать, пока их носом не ткнут.
Ответить | Правка | Наверх | Cообщить модератору

	87. "MITRE не получил финансирование для продолжения ведения базы..."	+/–
	Сообщение от Аноним (-), 17-Апр-25, 00:01
	> Нужна международная база уязвимостей, например, на базе ООН или БРИКС. Тогда ты будешь узгавать о CVE - путем их эксплуатации каким-то дачьем на твоем сервере. А это не прикольно ощущается если ты не то дачье.
	Ответить | Правка | Наверх | Cообщить модератору

85. "MITRE не получил финансирование для продолжения ведения базы..."	+1 +/–
Сообщение от голос_из_леса (ok), 16-Апр-25, 20:55
https://en.wikipedia.org/wiki/Mitre_Corporation >> In February 2020, MITRE launched SQUINT, a free app allowing election officials to report misinformation on social media; Не конторка, а отдел спецслужб. Да еще и "нон-профит". Мда. Закрыли финансы за то что деньги отмывала и в политику лезла, но плакаться она будет о том, на что ее 0.01% бюджета шли.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема