LINUX.ORG.RU

История изменений

Исправление Obezyan, (текущая версия) :

Я не очень понимаю, откуда сарказм первого сообщения, переходящий в пофигизм последнего

Нет ни сарказма ни пофигизма. Вы просто не совсем правильно понимаете градацию Severity.

Если производитель назвал уязвимость опасной

Они специально завышают опасность на один уровень. Я не шучу. Это хеджирование рисков по судебному преследованию и лишний стимул заставить пользователей обновиться. То самое «перебдеть» в корпоративном исполнении.

У каждой CVE есть свой код который сжато объясняет суть уязвимости. Конкретно эта уязвимость описана так:

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Нас фактически волнует только часть AV:L что означает вектор атаки = локальный (Атакующий должен иметь физический доступ к системе, либо иметь локальную учётную запись). Именно это я и описал упомянув пригласить на чай.

Все просто: видите AV:L - выдыхаете, видите AV:N - начинаете смотреть остальную кодифицированную часть уязвимости.

Исправление Obezyan, :

Я не очень понимаю, откуда сарказм первого сообщения, переходящий в пофигизм последнего

Нет ни сарказма ни пофигизма. Вы просто не совсем правильно понимаете градацию Severity.

Если производитель назвал уязвимость опасной

Они специально завышают опасность на один уровень. Я не шучу. Это хеджирование рисков по судебному преследованию и лишний стимул заставить пользователей обновиться. То самое «перебдеть» в корпоративном исполнении.

У каждой CVE есть свой код который сжато объяснять суть узвимости. Конкретно эта уязвимость описана так:

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Нас фактически волнует только часть AV:L что означает вектор атаки = локальный (Атакующий должен иметь физический доступ к системе, либо иметь локальную учётную запись). Именно это я и описал упомянув пригласить на чай.

Все просто: видите AV:L - выдыхаете. видите AV:N и начинаете смотреть остальную кодифицированную часть уязвимости.

Исходная версия Obezyan, :

Я не очень понимаю, откуда сарказм первого сообщения, переходящий в пофигизм последнего

Нет ни сарказма ни пофигизма. Вы просто не совсем правильно понимаете градацию Severity.

Если производитель назвал уязвимость опасной

Они специально завышают опасность на один уровень. Я не шучу. Это хеджирование рисков по судебному преследованию и лишний стимул заставить пользователей обновиться. То самое «перебдеть» в корпоративном исполнении.