Prisma Cloud Compute : Pourquoi le « statut du correctif » est-il vide pour certaines CVE NVD alors qu’un correctif est disponible ?

• En règle générale, pour les CVE d’application et les CVE jar, nous approvisionnons les données auprès de NVD.
• NVD n’a pas de champ d’état et ne fournit aucune version fixe, seulement les versions affectées.

• Pour NVD, nous faisons de notre mieux pour analyser un état de correctif basé sur les versions affectées et la description.
  • Pour la description :
    • Dans la description, nous recherchons certaines expressions comme « fixé en x »
  • Pour les versions concernées :
    • Dans les conditions de version affectées, si nous voyons quelque chose comme <x, nous pouvons supposer que x est une version corrective et remplir un statut en fonction de cela.
    • Dans les conditions de version affectée, si nous ne voyons que les versions affectées (<=x ou Jusqu’à (y compris) x comme NVD l’énumère), nous ne pouvons pas faire d’hypothèses sur la version corrigée.
    • Par exemple, si nous voyons <=1.9.13 , nous ne savons pas si la version corrigée est 1.9.14 ou 2.0 ou s’il y en a une du tout.

Étant donné que nous ne pouvons pas analyser un état de correctif en fonction des données que NVD nous fournit et que nous ne voulons pas faire de fausses hypothèses, le statut est laissé vide.

Il s’agit du comportement attendu pour les CVE NVD dont la version du correctif n’est pas claire.