-
- いいね!0
前提知識
CVEは脆弱性情報データベースのひとつで、米国政府の支援を受けた非営利団体のMITRE社が識別子を採番している
https://cve.mitre.org/
https://www.ipa.go.jp/security/vuln/CVE.html
事の発端はこのツイートのもよう
matsuu
@matsuu
日本語記事きてた。いやぁしかしCVEが半年で10万か。1万ではなく10万だぜ。まじかよ / “sudoに完全な特権昇格の脆弱性( CVE-2017-1000367 ) — | サイオスOSS | サイオステクノロジー” htn.to/5eaiAU3
2017-05-31 09:02:40@ttdoda さんによる解説
いわもと こういち
@ttdoda
CVEが9999の後に1000000に飛ぶのは、4桁に決めうちしたシステムが4桁に切り詰めた時にそれがわかるようにする為。CVE-2017-1000367がCVE-2017-1000に切り詰められた時にCVE-2017-1000が無い事が確実ならば切り詰められた事がわかる。
2017-05-31 10:03:25
いわもと こういち
@ttdoda
なので1000~1199は予約されてる……はずなんだけれど CVE-2017-1093とかあるな cve.mitre.org/cgi-bin/cvenam…
2017-05-31 10:03:55桁あふれ対策のための予約
https://cve.mitre.org/cve/identifiers/tech-guidance.html
In summary, CVE-2014-1000 through CVE-2014-1199 have not been issued at all (CVE-2014-1200 is also currently unissued).
このため、2014 年以降に使われる連番は 0001-0999 と 1200-9999 と 1000000-1199999 となる。
例示用にも予約されているらしい
いわもと こういち
@ttdoda
CVE-2017-9999は "This candidate was used as an example and was not assigned for a security issue" という事で予約済みらしい
2017-05-31 09:35:52IPアドレスにもこういうのありましたね
https://tools.ietf.org/html/rfc5737
IPv4 Address Blocks Reserved for Documentation