<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Feb 19, 2023, 07:45 Rob Landley <<a href="mailto:rob@landley.net">rob@landley.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2/18/23 23:06, enh via Toybox wrote:<br>
> on your blog, you said:<br>
> """<br>
> Wait... really? There's a toybox CVE for httpd? (Yeah I remember<br>
> fixing that bug, but was it really worth a Charged Vacuum Emboitment?)<br>
> """<br>
> <br>
> given that the original bug on github explicitly had the "found by<br>
> $FOO of $BAR" boilerplate that you tend to see from security<br>
> researchers who file these things for a living, i assume they also<br>
> filed the CVE so they can claim priority if anything ever does come of<br>
> this bug. (this is one reason why consumers of CVEs have their own<br>
> people to try to determine the relevance/severity _to them_.)<br>
> <br>
> if you ever get a "real" CVE -- one that's "obviously" important --<br>
> they'll probably mail you directly rather than zero-day you via the<br>
> github issue tracker :-)<br>
<br>
Eh, it's hard to tell what is and isn't relevant when exploits wind up chaining<br>
together 13 different minor things, but the command was less than a year old,<br>
static-only, doesn't work as a standalone daemon and I haven't shipped an actual<br>
inetd yet, and I thought exposing an external port on an android device required<br>
some sort of blood sacrifice from AT LEAST three different types of animal?<br>
<br>
It was more an "is... is somebody already _using_ this?" (It was promoted on<br>
April 24, the segfault was reported and fixed May 29. They had something like 35<br>
days to notice...)<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">my default assumption is "no", given the source was a researcher, and given that the report was public. if it was a user, the default assumption is"yes", but a researcher probably just has the project in the corpus they run a static analyzer or fuzzer or test suite against.</div><div dir="auto"><br></div><div dir="auto">this is why there's such a secondary and tertiary industry of "sure, but does it *matter*?".</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I shouldn't be surprised it's RFC logic, publish the slush pile and let somebody<br>
else filter out an interesting subset. </blockquote></div></div><div dir="auto"><br></div><div dir="auto">i'm not saying anything about this particular researcher, but, yeah, that seems to be how the business works. (there are folks who're much more directed, google's one being "project zero", but those kinds of researcher tend to contact you privately.) </div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">(So what does Mitre do then? Other than<br>
provide another layer of indirection for laundering black budgets, which is like<br>
half of Arlington's economy and probably a good chunk of Alexandria...)<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">just naming consistency, afaict... in the modern world where everything is made up of other things, libfoo bug 123 might be android bug 456 and ios bug 789 and windows bug 666 or whatever, so it's (somewhat) handy to (some people) if there's a CVE 2357 that everyone can refer to and know they're taking about the same thing.</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Rob<br>
_______________________________________________<br>
Toybox mailing list<br>
<a href="mailto:Toybox@lists.landley.net" target="_blank" rel="noreferrer">Toybox@lists.landley.net</a><br>
<a href="http://lists.landley.net/listinfo.cgi/toybox-landley.net" rel="noreferrer noreferrer" target="_blank">http://lists.landley.net/listinfo.cgi/toybox-landley.net</a><br>
</blockquote></div></div></div>