这是一篇关于新成立的 Linux CNA 如何影响 Linux 内核漏洞管理的案例研究博客，通过一个多月前向上游 5.10 LTS 内核报告的漏洞处理不当为例进行阐述：

• 漏洞相关：在一组改进 Linux 内核对新 MDS 攻击缓解措施的补丁回溯中，对 5.13 之前内核应用更改的方式存在疏忽，导致受影响的带有错误回溯的内核中，CONFIG_XEN_PV 启用时，不仅新攻击的 MDS 缓解措施变为无效，对 2019 年就存在的攻击缓解措施也变为无效，产生了各种信息泄露，包括 KASLR 失败。坏的回溯针对上游 5.4 和 5.10 LTS，5.4 未回溯，5.10.215 内核于 4 月合并了错误回溯，5 月下旬在 5.10.218 中修复。下游方面，Debian Bullseye 因遵循上游 5.10 LTS 发行版而发送了受影响的内核，SUSE 的 5.3.18 内核在 SLE15 SP2/SP3 - LTSS 中也受影响，从不同时间到 6 月 24 日修复。
• 报告内容：2024 年 5 月 21 日直接发送给 Debian 的报告确认了漏洞，回溯过程及发现的问题，包括在不同配置下受影响的 Debian 内核版本、漏洞细节（如在特定路径下 CLEAR_CPU_BUFFERS 宏的执行问题导致 MDS 缓解措施失效）、修复建议等，并提及了相关人员的贡献。
• 修复过程：5.10 LTS 于 5.10.218 中合并了修复，方式是按照报告中的建议，删除 USERGS_SYSRET64 宏并重新添加相关代码，但修复提交的选择对 Linux CNA 自动生成的 CVE 信息产生了广泛影响。
• CVE 情况：Linux CNA 于 2024 年 6 月 25 日宣布该漏洞的 CVE，存在多个问题，如错误分配 2021 年的 CVE 年份、错误声称漏洞引入于特定回溯等，这些问题源于 Linux CNA 的自动化使用，导致 CVE 信息不可靠，与之前的 CVE 系统相比有很大不同。
• CNA 问题：Linux CNA 存在争议，虽成立四个多月已分配 2000 多个 CVE，但对 CVE 生态的危害未被充分认识，其自动化导致 CVE 识别的是修复而非漏洞，存在诸多错误和信息不足的情况，且 CVE 发布与漏洞修复时间间隔长，影响了可追踪性和用户信息获取。
• 建议：最初应将报告发送到 linux-distros 邮件列表或公开到 oss-sec 邮件列表，这样能通知受影响的发行版，避免重复工作，同时强调应重视 CNA 过于自动化和政策可疑对 CVE 生态的负面影响，希望用户和 CVE 消费者不再冷漠，寻求解决问题的途径。