Janek Bevendorff@isotopp CVEs sind auch für Downstream-Projekte anstrengend, weil sie jedes Projekt, das eine Dependency nutzt, zwingen, sofort ein neues Release zu schnüren, auch wenn die Software gar nicht in einer Art und Weise genutzt wird, die angreifbar wäre. Macht man das nicht, hat man den Bugtracker voll von Leuten, deren CVE-Scanner die alte DLL-Version gefunden hat.
Ich bekomme auch regelmäßig vom CERT Meldungen wegen alter "vulnerabler" OpenSSH-Versionen, weil Ubuntu lieber backportet als upgradet.
All GNU social JP content and data are available under the