携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第5天,点击查看活动详情
CVE 漏洞
什么是常见漏洞和披露 (CVE) 术语表
CVE 代表 常见漏洞和披露。CVE 是一个对漏洞进行分类的词汇表。该词汇表分析漏洞,然后使用通用漏洞评分系统 (CVSS) 来评估漏洞的威胁级别。CVE 分数通常用于确定漏洞安全性的优先级。
CVE 术语表是一个致力于跟踪和编目消费者软件和硬件漏洞的项目。它由MITRE公司维护,由美国国土安全部提供资金。使用安全内容自动化协议 (SCAP) 收集漏洞并进行编目。SCAP 评估漏洞信息,并为每个漏洞分配一个唯一标识符。
评估和确定漏洞后,将在公开提供的MITRE词汇表中列出漏洞。上市后,美国国家标准与技术研究院(NIST)对漏洞进行分析。然后,所有漏洞和分析信息都列在NIST的国家漏洞数据库(NVD)中。
CVE词汇表是作为安全和科技行业的沟通基线和对话来源而创建的。CVE标识符用于标准化漏洞信息并统一安全专业人员之间的通信。安全公告,漏洞数据库和错误跟踪器都采用此标准。
哪些漏洞符合 CVE 的条件
要归类为 CVE 漏洞,漏洞必须满足一组特定的条件。这些标准包括:
| ### 独立于其他问题您必须能够独立于其他问题修复此漏洞。 | |
|---|---|
| ### 供应商认可该漏洞是供应商已知的,并被确认会导致安全风险。 | ### 是一种已证实的风险提交漏洞时,会提供违反供应商安全策略的安全影响证据。 |
| ### 影响一个代码库每个产品漏洞都有一个单独的 CVE。如果漏洞源于共享协议、标准或库,则会为每个受影响的供应商分配单独的 CVE。例外情况是,如果不包括漏洞,就无法使用共享组件。 |
什么是常见漏洞评分系统 (CVSS)
CVSS 是衡量漏洞影响的几种方法之一,通常称为 CVE 分数。CVSS 是一组开放的标准,用于评估漏洞并按 0-10 的等级分配严重性。CVSS的当前版本是v3.1,其细分比例如下:
| 严厉 | 基本分数 |
|---|---|
| 没有 | 0 |
| 低 | 0.1-3.9 |
| 中等 | 4.0-6.9 |
| 高 | 7.0-8.9 |
| 危急 | 9.0-10.0 |
CVSS标准被许多信誉良好的组织使用,包括NVD,IBM和Oracle。如果要查看 CVSS 的计算方式,或转换不使用 CVSS 的组织分配的分数,可以使用 NVD 计算器。
主要 CVE 漏洞的严重性
CVE 标识符
验证漏洞后,CVE 编号机构 (CNA) 会分配一个编号。CVE 标识符的格式为 — CVE-{year}-{ID}。目前,在 22 个国家/地区有 114 个组织被认证为 CNA。这些组织包括研究机构以及安全和 IT 供应商。CNA 由 MITRE 授予其权限,MITRE 还可以直接分配 CVE 编号。
漏洞信息通过研究人员、供应商或用户提供给 CNA。许多漏洞也是作为漏洞赏金计划的一部分发现的。这些程序由供应商设置,为直接向供应商报告漏洞的用户提供奖励,而不是公开信息。然后,供应商可以向 CNA 报告漏洞以及修补程序信息(如果有)。
报告漏洞后,CNA 会从其持有的唯一 CVE 标识符块中为其分配一个编号。然后,CNA 将具有分配编号的漏洞报告给 MITRE。通常,报告的漏洞在MITRE公开之前需要等待一段时间。这允许供应商开发补丁,并降低漏洞一旦已知就被利用的机会。
公开 CVE 漏洞时,会列出该漏洞及其 ID、问题的简要描述以及包含其他信息或报告的任何引用。当出现新的参考文献或发现时,此信息将添加到条目中。
打开 CVE 数据库
有许多数据库包含 CVE 信息,并用作漏洞通知的资源或源。以下是三个最常用的数据库。
国家漏洞数据库 (NVD)
NVD成立于2005年,是许多组织的主要CVE数据库。它提供了有关漏洞的详细信息,包括受影响的系统和潜在的修复程序。它还使用 CVSS 标准对漏洞进行评分。
如前所述,来自MITRE的CVE信息将提供给NVD,然后NVD分析报告的CVE漏洞。虽然这些组织协同工作,并且都由美国国土安全部(DHS)赞助,但它们是独立的实体。
漏洞数据库 (VULDB)
VULDB 是一个社区驱动的漏洞数据库。它提供有关漏洞管理、事件响应和威胁情报的信息。VULDB 专门从事漏洞趋势分析。提供这些分析是为了帮助安全团队预测和准备未来的威胁。
CVE 详情
CVE 详细信息](www.cvedetails.com/)是一个数据库,它将 NVD 数据与来自其他源(如漏洞数据库)的信息相结合。它使您能够按供应商、产品、类型和日期浏览漏洞。它包括CVE漏洞,以及Bugtraq ID和Microsoft Reference列出的漏洞。
资源
如果您想使用 RSS 快速轻松地更新 CVE 漏洞,可以尝试以下列表:
