Bild: Pexels

Immer wieder gibt es Streit um CVE-Nummern. Die Kernel-Community will die CVE-Nummern nun für extrem viele Bug-Fixes vergeben.

Die Upstream-Community des Linux-Kernel, Kernel.org, zählt nun als sogenannte CVE Numbering Authority (CNA) und darf eigenständig CVE-Nummern für erkannte Sicherheitslücken vergeben. Das hat die für die CVE-Nummern zuständige Mitre Corporation bekanntgegeben. Der Betreuer der stabilen Kernel-Zweige, Greg Kroah-Hartman, schreibt dazu in seinem Blog:

Es ist ein Trend, dass immer mehr Open-Source-Projekte die halbherzige Zuweisung von CVEs für ihr Projekt übernehmen, indem sie CNA werden, so dass keine andere Gruppe CVEs ohne ihre Beteiligung zuweisen kann.

Tatsächlich beschweren sich zahlreiche Open-Source-Communitys und -Entwickler seit Jahren über die Vergabe von CVE-Nummern durch Dritte für ihr eigenes Projekt, ohne dass überhaupt Rücksprache mit den entsprechenden Entwicklern gehalten wird. Die Videolan-Community ist deshalb etwa bereits seit 2019 eine CNA, das Curl-Projekt erst seit wenigen Wochen.