Clarificação da versão do Cisco IOS XR

4

Eu passei por este cisco advisory

Diz:

This bug was introduced in Cisco IOS XR Software release 3.6.2 and is fixed with SMU hfr-k9sec-3.6.2.CSCtd74795. The SMU ID for this fix in 3.6.2 is AA03656. This vulnerability has been fixed in 3.8.3, 3.9.1, and 4.0.0 for customers running later software versions. Software version 3.7 is not affected by this vulnerability.

Estou tentando descobrir algo, de acordo com isso, 3.6.2 é vulnerável, a menos que seja corrigido com a SMU mencionada.

E sobre versões como:

  • 3.6.1
  • 3.6.0
  • 3.5.4 e antes ... eles também são vulneráveis?

Além disso, ele diz que foi corrigido em 3.8.3 e 3.9.1, por que eles também mencionam 3.9.1, isn 3.9.1 > 3.8.3 então é óbvio que também é fixado em 3.9.1?

    
por soulSurfer2010 04.06.2011 / 20:23

1 resposta

2

Você está fazendo uma pergunta razoável. A primeira coisa a entender é que o desenvolvimento de software da Cisco geralmente acontece em ramificações paralelas 1 , com relação a onde os recursos são confirmados.

Nesse caso, um desenvolvedor comprometeu simultaneamente o código vulnerável em 3.6.2 e 3.7.1; esse código vulnerável escapou do teste Q / A e foi liberado no CCO. Todos os softwares lançados nesses ramos após 2 3.6.2 e 3.7.1 estavam vulneráveis 3 até que a correção fosse confirmada simultaneamente em 3.8.3, 3.9.1 e 4.0.0

NOTAS FIM:

  1. Veja o Horror de Codificação: Universos de Ramificação de Software e Paralelos
  2. As versões 3.5.4, 3.6.0, 3.6.1 não devem ser vulneráveis, pois não foram mencionadas na notificação
  3. As versões 3.8.0, 3.8.1, 3.8.2 e 3.9.0 também contêm o código vulnerável
por 04.06.2011 / 22:59

Tags