CVE-2017ナンバリングの大きな飛躍はなぜですか?
今年のCVEエントリ からの番号付けがCVE-2017-15xxxからCVE-2017-1000xxxにジャンプした理由を誰かが説明できますか?
番号シーケンスCVE-2017-16xxx、CVE-2017-17xxxなどのエントリについてはどうですか?
〜984 000のエントリに連続番号が付けられないのはなぜですか? 公式ドキュメント を読んでも、この質問に対する答えはわかりません。
おそらく、この欠落しているブロックがCVE Numbering Authorities(CNA)に割り当てられていたためです: https://cve.mitre.org/cve/cna.html 。 CNAの脆弱性が自社製品のいずれかに影響を与えるとすぐに、欠落しているCVEが割り当てられます。
CVEの詳細ページで、特定のCVEを割り当てたCNAを確認できます。例: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8811 (Debianはそれをしました)
CVE IDは、CVE Numbering Authorities(CNA)によって割り当てられます。
CVEプログラムは、フェデレーテッドCNA構造を使用します。
CNAがCVE IDを割り当てる場合、CNAはその親にCVE IDブロックを要求する必要があります。これにより、このブロックは予約済みとしてマークされます。
すべてのCVE-20XX-1000XXXの脆弱性は CNAリスト に従って、ルートCNAである 分散型弱点ファイリングプロジェクト によって割り当てられました。
MITREによって述べられているように 、DWFプロジェクトには7桁のブロックが割り当てられており、他のCNA割り当てとの割り当てを区別しているので、そのような大きなジャンプがあります。