如何确定给定漏洞所需的最小Linux内核版本

Question

我必须跟踪一个合法(3.12) Linux内核的漏洞。为此，我在NVD这样的网站上搜索新的漏洞。最近，我遇到了一个问题，该漏洞的受影响版本被描述为cpe:/o:linux:linux_kernel:4.4:rc8 and previous versions。但是，当我将LinuxKernelVersion3.12的源代码与针对该漏洞的修复进行比较时，我可以看到，导致该漏洞的修改已应用于较后版本。这就引出了一个问题：

有没有一种方法可以在不手动分析源代码的情况下确定引入漏洞的Linux内核的版本？

Answer 1

必须有人手动分析代码，以确定何时引入该漏洞。如果有人没有告诉你它是什么版本的(通常只有高调的漏洞，有人想自豪地宣称某件事情是多么的不安全和可怕)，你就必须自己去做。不幸的是，它并不总是像添加漏洞的单行那样简单，而是多个组件之间的相互作用，从而导致了可利用的情况。

Answer 2

https://www.kernel-exploits.com网站在这方面很有用。例如，查看sock_sendpage，CVE-2009-2692的结果：

sock_sendpage内核: 2.4.4、2.4.5、2.4.6、2.4.7、2.4.8、2.4.9、2.4.10、2.4.11、2.4.12、2.4.13、2.4.14、2.4.15、2.4.16、2.4.17、2.4.18、2.4.19、2.4.20、2.4.21、2.4.22、2.4.23、2.4.24，2.4.25、2.4.26、2.4.27、2.4.28、2.4.29、2.4.30、2.4.31、2.4.32、2.4.33、2.4.34、2.4.35、2.4.36、2.4.37、2.6.0、2.6.1、2.6.2、2.6.3、2.6.4、2.6.5、2.6.6、2.6.7、2.6.8，2.6.9、2.6.10、2.6.11、2.6.12、2.6.13、2.6.14、2.6.15、2.6.16、2.6.17、2.6.18、2.6.19、2.6.20、2.6.21、2.6.22、2.6.23、2.6.24、2.6.25、2.6.26、2.6.27、2.6.28、2.6.29、2.6.30