【余弦：比特币铭文漏洞CVE被美国国家漏洞数据库正式采纳】

【余弦：比特币铭文漏洞CVE被美国国家漏洞数据库正式采纳】 慢雾创始人余弦在X平台发文表示：“比特币序号铭文这个漏洞CVE被美国国家漏洞数据库（NVD）正式采纳了，CVSS漏洞等级评分是5.3中危等级。注：客观安全描述，不代表任何情绪倾向，我也玩（研究）铭文，我感觉铭文会有其他出路，希望看到更优解。” 此前消息，Bitcoin Core客户端开发人员Luke Dashjr表示，铭文所利用Bitcoin Core客户端漏洞被分配标识符CVE-2023-50428。 慢雾创始人余弦在X平台发文表示：“铭文这个问题被分配了个CVE编号，这是釜底抽薪了，态度鲜明地定性漏洞了。CVE编号不是什么新鲜事，许多安全团队/个人都可以申请，我们没太看重这玩意……但可能比特币生态相关角色会看重这个，毕竟CVE编号在安全行业是最知名的漏洞证明之一。” 快讯/广告 联系 @xingkong888885

Linux内核项目成为CVE编号机构 后续未修补的漏洞将不再提前分配CVE

Linux内核项目成为CVE编号机构 后续未修补的漏洞将不再提前分配CVE 日前 Linux Kernel 宣布已成为 Linux 中发现的漏洞的 CVE 编号机构 (CNA)，后续至少关于内核方面的漏洞，将由 Linux Kernel 项目自行分配，不再由 MITRE 分配 CVE 编号。为什么会引起不满呢？Linux Kernel 项目组认为整个系统 (指的是漏洞披露系统) 很多方面都被破坏了，由于 Linux 内核金额处在系统的底层，几乎任何错误都可能被利用拿来危害内核的安全，但当错误被修复时，利用的可能性通常并不明显。过去 CVE 分配团队过于谨慎，将 CVE 编号分配黑他们发现或收到的任何错误修复，这也是为什么 Linux Kernel 团队发布了看似大量的 CVE 相关的东西。接下来 Linux Kernel 未修复的安全问题不会提前分配 CVE 编号，只有在漏洞被修复后才会分配 CVE 编号，这样可以通过正确的方式来追踪原始修复的 git commit ID。此外对于任何非稳定版、非 LTS 版这类正式版本的 Linux Kernel 发现的任何漏洞，都不会再分配 CVE 编号，因为这类版本本身就不是正式支持的。最后 Linux Kernel 内核团队也感觉小组和董事会，因为内核团队申请成为 CNA 的流程非常顺利并获得了他们的帮助，让内核团队成为 CNA 变成现实。 ... PC版： 手机版：

【比特币核心开发者：铭文正利用Bitcoin Core的一个漏洞向区块链发送垃圾信息】

【比特币核心开发者：铭文正利用Bitcoin Core的一个漏洞向区块链发送垃圾信息】 12月6日消息，比特币核心开发人员Luke Dashjr在社交媒体发文表示，铭文正在利用比特币核心客户端Bitcoin Core的一个漏洞向区块链发送垃圾信息。自2013年以来，Bitcoin Core允许用户设置在转发或挖矿交易时的额外数据大小限制。通过将其数据模糊为程序代码，铭文绕过了这个限制。 Luke Dashjr表示，这个漏洞最近在比特币Knots v25.1中得到修复。由于去年底我的工作流程受到了严重干扰（v24被完全跳过），修复时间比平常长。在即将发布的v26版本中，Bitcoin Core仍然存在漏洞。我只能希望它会在明年的 v27 之前得到最终修复。 快讯/广告 联系 @xingkong888885