CVE馅

我监视@CVENew Twitter feed，以跟上发布的任何有趣的新漏洞。 CVE-2020-29589在12月11日发布，声称``通过1.5.0-alpine的kapacitor Docker映像包含root用户的空白密码''，并且其CVSS评分为9.8。

此CVE只是CVE-2019-5021的重新报告，我于去年发布时对其进行了研究。 AlpineLinux在他们的文章中正确地宣称：“除非安装了影子或Linux-pam软件包，否则您不会受到影响。”检查DockerFile的Kapactior映像，它没有安装任何软件包，因此此容器不受根CVE-2019-5021漏洞甚至只是刚刚提供的新CVE-2020-29589的影响。发生错误，所以我联系了InfluxData，要求他们对CVE提出异议，然后继续前进。

然后它开始发生。在过去的7天中，提交了以下CVE，声称具有相同的问题，没有进行任何验证，甚至试图与容器所有者联系，让他们知道已提交CVE。

对CVE-2020-35466的描述甚至开始恶化，将受影响的产品列为“ Blackfire Docker映像– store / blackfire / blackfire”，甚至无法检查漏洞是否存在。

随着CNA的扩展，我知道CVE的总量将会爆炸，随着CVE-2019-14478等专用软件中的XSS错误变得越来越普遍。但是，只要付出一些努力来验证漏洞，数据仍然有用。如果我们到了您甚至无法相信CVE中的数据准确的地步，那么安全团队缓解漏洞的能力就变得不可能了。正如迈克尔·罗伊特曼（Michael Roytman）告诉我的那样，“糟糕的数据是唯一比没有数据更糟糕的东西”，这就是正在发生的事情。 CVE数据库中充斥着不良数据。我还没有找到有关这些CVE的联系NVD或Mitre的方法，只是运气不佳，让集装箱所有者知道对CVE提出异议。