CVE

  • CVE
    • 名称
      • CVE=Common Vulnerabilities and Exposures=通用漏洞披露
      • 别称:常见弱点与漏洞
    • 是什么:一个与信息安全有关的数据库
      • 注意
        • 通常我们谈到的CVE指的是CVE编号=CVE漏洞编号
          • 是分配给每个安全漏洞的CVE ID编号
    • 作用:收集各种信息安全弱点及漏洞并给予编号以便于公众查阅
      • 列出了已公开披露的各种计算机安全漏洞
    • 目的:帮助IT专业人员协调自己的工作,轻松地确定漏洞的优先级并加以处理,从而提高计算机系统的安全性
    • 运营:现由美国非营利组织MITRE所属的National Cybersecurity FFRDC所营运维护

CVE漏洞编号

  • CVE漏洞编号
    • 每一个通用漏洞披露都赋予一个专属的编号
    • 格式:
      • CVE-YYYY-NNNN
        • CVE:固定的前缀字
        • YYYY:西元纪年
        • NNNN:流水编号
          • 原则上为四位数字,但必要时可编到五位数或更多位数
            • 例如
              • 于2014年发现的心脏出血漏洞编号为CVE-2014-0160

CVE申请需要满足什么条件?

  • 只有满足一系列特定条件的漏洞才会分配 CVE ID
    • 这些漏洞必须满足以下条件:
        1. 可以单独修复。
        2. 该漏洞可以独立于所有其他错误进行修复。
      • 2.
        • 已得到相关供应商的确认。
          • 软件或硬件供应商已确认错误,并承认其会对安全性造成负面影响。
        • 或者
        • 已记录在案。
          • 错误报告者已共享了一份相关的漏洞报告,表明错误会造成负面影响,且有悖于受影响系统的安全策略。
        1. 会影响某个代码库。
        2. 如果漏洞会对多个产品造成影响,则会获得单独的 CVE。对于共享的库、协议或标准,只有在使用共享代码会容易受到攻击时,该漏洞才会获得单个 CVE。否则,每个受影响的代码库或产品都会获得一个唯一的 CVE

CVE漏洞编号是谁颁发的?

CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加,MITRE将漏洞编号的赋予工作转移到了其CNA=CVE Numbering Authorities成员。

CNA涵盖5类成员,目前共有69家成员单位:

  1. MITRE:可为所有漏洞赋予CVE编号;
  2. 软件或设备厂商:如AppleCheck PointZTE为所报告的他们自身的漏洞分配CVE ID。该类成员目前占总数的80%以上。
  3. 研究机构:如Airbus,可以为第三方产品漏洞分配编号;
  4. 漏洞奖金项目:如HackerOne,为其覆盖的漏洞赋予CVE编号;
  5. 国家级或行业级CERT:如ICS-CERTCERT/CC,与其漏洞协调角色相关的漏洞。

results matching ""

    No results matching ""