В комментах в ВК (а туда всё дублируется и вы можете там комментить) мне написали, что в последнем посте слишком много аббревиатур и непонятно даже в чём весь цимес. Видимо я слишком усушил текст, чтобы в лимиты поста с картинкой уложиться, сорри. 😅 Дело вот в чем.

1. Есть уязвимость в архиваторе Win­RAR, для которой Pos­i­tive Tech­nolo­gies предварительно получили CVE идентификатор.

2. После того как уязвимость была исправлена, Mitre Cor­po­ra­tion (они держат реестр CVE идентификаторов и являются апстримом для Nation­al Vul­ner­a­bil­i­ty Data­base) по какой-то причине начали использовать этот ранее выданный CVE идентификатор для какой-то другой уязвимости, которая к Win­RAR никак не относится.

3. Можно подумать, что случилась какая-то ошибка и Mitre завели эту уязвимость Win­RAR под другим CVE идентификатором. Но нет, других уязвимостей Win­RAR с похожим описанием за 2021 год и позже не наблюдается. Просто забили.

Почему так вышло? Кто его знает, Mitre нам не расскажут. Можно предположить такую логику Mitre: "вы, Pos­i­tive Tech­nolo­gies, под санкциями, мы от вас больше уязвимости принимать не будем". В итоге сложилась ситуация, когда один и тот же CVE идентификатор CVE-2021–35052 используется для ссылки на две совершенно разные уязвимости. Коллизия. 🤷‍♂️

Разумеется, это очень странное и контрпродуктивное поведение со стороны Mitre. Но дело не только в них. Было несколько похожих эпизодов с западными IT-вендорами, когда PT на сообщение об уязвимости либо не отвечали, либо в acknowl­edge­ment не ставили. А, например, в случае с Cit­rix сначала добавили acknowl­edge­ment, потом тихонько убрали, а после публичного обсуждения вернули назад. Насколько я понимаю, такое было не только с PT, но и с Dig­i­tal Secu­ri­ty, и с другими исследовательскими компаниями под американскими санкциями.

В общем, здорово, что у нас есть национальная база уязвимостей в виде БДУ ФСТЭК, где есть, кроме прочего, и уязвимости для которых Mitre отказались по каким-то причинам идентификаторы выдавать.