CVE
CVE
- 名称
CVE
=Common Vulnerabilities and Exposures
=通用漏洞披露
- 别称:
常见弱点与漏洞
- 是什么:一个与信息安全有关的数据库
- 注意
- 通常我们谈到的
CVE
指的是CVE编号
=CVE漏洞编号
- 是分配给每个安全漏洞的
CVE ID
编号
- 是分配给每个安全漏洞的
- 通常我们谈到的
- 注意
- 作用:收集各种信息安全弱点及漏洞并给予编号以便于公众查阅
- 列出了已公开披露的各种计算机安全漏洞
- 目的:帮助IT专业人员协调自己的工作,轻松地确定漏洞的优先级并加以处理,从而提高计算机系统的安全性
- 运营:现由美国非营利组织
MITRE
所属的National Cybersecurity FFRDC
所营运维护
- 名称
CVE漏洞编号
CVE漏洞编号
- 每一个通用漏洞披露都赋予一个专属的编号
- 格式:
CVE-YYYY-NNNN
CVE
:固定的前缀字YYYY
:西元纪年NNNN
:流水编号- 原则上为四位数字,但必要时可编到五位数或更多位数
- 例如
- 于2014年发现的
心脏出血漏洞
编号为CVE-2014-0160
- 于2014年发现的
- 例如
- 原则上为四位数字,但必要时可编到五位数或更多位数
CVE申请需要满足什么条件?
- 只有满足一系列特定条件的漏洞才会分配 CVE ID
- 这些漏洞必须满足以下条件:
- 可以单独修复。
- 该漏洞可以独立于所有其他错误进行修复。
- 2.
- 已得到相关供应商的确认。
- 软件或硬件供应商已确认错误,并承认其会对安全性造成负面影响。
- 或者
- 已记录在案。
- 错误报告者已共享了一份相关的漏洞报告,表明错误会造成负面影响,且有悖于受影响系统的安全策略。
- 已得到相关供应商的确认。
- 会影响某个代码库。
- 如果漏洞会对多个产品造成影响,则会获得单独的 CVE。对于共享的库、协议或标准,只有在使用共享代码会容易受到攻击时,该漏洞才会获得单个 CVE。否则,每个受影响的代码库或产品都会获得一个唯一的 CVE
- 这些漏洞必须满足以下条件:
CVE漏洞编号是谁颁发的?
CVE开始是由MITRE Corporation
负责日常工作的。但是随着漏洞数量的增加,MITRE
将漏洞编号的赋予工作转移到了其CNA
=CVE Numbering Authorities
成员。
CNA
涵盖5类成员,目前共有69家成员单位:
MITRE
:可为所有漏洞赋予CVE
编号;软件或设备厂商
:如Apple
、Check Point
、ZTE
为所报告的他们自身的漏洞分配CVE ID
。该类成员目前占总数的80%以上。研究机构
:如Airbus
,可以为第三方产品漏洞分配编号;漏洞奖金项目
:如HackerOne
,为其覆盖的漏洞赋予CVE
编号;国家级或行业级CERT
:如ICS-CERT
、CERT/CC
,与其漏洞协调角色相关的漏洞。