Valgrindとアドレスサニタイザーを使用して毎日(楽しみのために)使用している数を計算するソフトウェアで、いくつかのメモリバグを見つけました。私は作者に連絡しました、そして彼は現在バグを追跡して修正するために一生懸命働いています。
CVEをリクエストする必要がありますか?配布用にもメンテナンスしているのでお願いします。
これらのバグは深刻であると見なされるべきですか?通常、rootとしてプログラムを実行することはありませんが、プログラムによって実行が妨げられることもありません。ルート権限を削除し、できない場合は終了するようにラッパースクリプトを変更する必要がありますか?
ありがとうございます!
これが本当に脆弱性である場合は、はい、CVEを取得します。ただし、すべてのバグが脆弱性ではないことを忘れないでください。前のコメントを見ると、攻撃者がWebサイトを乗っ取ったり、クラッシュさせたりする可能性がある場合は、そうです。これは間違いなく脆弱性です。