漏洞补丁:漏洞命名(CVE和CNNVD)及补丁查找

已于 2022-10-19 19:44:49 修改
阅读量2w 收藏 46
点赞数 11
分类专栏: 工作杂谈 文章标签: 安全
于 2022-10-18 13:04:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guyuelin123/article/details/127372620
版权

摘要:以前一个项目,最近收到一份脆弱性分析报告(漏洞报告),通过这份报告小技能+1,记录一下报告中几个重要编号说明和如何下载对应的补丁文件。

一、名称介绍

截图为报告的部分内容,里面包含了编号,描述,解决地址。这里对 CVE编号,CVSS分值,国家漏洞库编号(CNNVD)等几个主要名称含义进行记录。


1、CVE编号

CVE官网: https://cve.mitre.org/
参考链接地址: https://info.support.huawei.com/info-finder/encyclopedia/zh/CVE.html

CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。

在CVE中,每个漏洞按CVE-1999-0067、CVE-2014-10001、CVE-2014-100001这样的形式编号。CVE编号是识别漏洞的唯一标识符。CVE编号由CVE编号机构(CVE Numbering Authority,CNA)分配,CVE编号机构主要由IT供应商、安全厂商和安全研究组织承担。

2、CVSS分值

CVE官网: https://www.cvedetails.com/
参考链接地址: https://info.support.huawei.com/info-finder/encyclopedia/zh/CVE.html

CVSS的分值代表漏洞的严重程度,分值范围为0.0到10.0,数字越大漏洞的严重程度越高。CVSS评分往往是漏扫工具、安全分析工具不可或缺的信息。

3、CNNVD编号(国家漏洞库编号)

CNNVD官网: http://www.cnnvd.org.cn/
参考链接地址: https://blog.csdn.net/HideInTime/article/details/106623637

CNNVD是中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”,简称“CNNVD”,隶属于中国信息安全测评中心(一般简称国测,国测的主管单位是Security部),是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。

4、CNVD编号

CNVD官网: https://www.cnvd.org.cn/
参考链接地址: https://blog.csdn.net/HideInTime/article/details/106623637

CNVD是国家信息安全漏洞共享平台,英文是China National Vulnerability Database,隶属于国家计算机网络应急技术处理协调中心(CNCERT),CNCERT则是工信部的下属单位。

二、补丁下载

对于漏洞 CNVD 和 CNNVD 都直接提供了补丁下载地址链接。这里需要注意一点:
注意:这里只是提供的厂家补丁的地址,并不是补丁文件。比如本次自己是提示 mysql5.5.28版本 的漏洞,在去下载补丁的时候,厂家补丁已经关闭,不能再下载。

使用过程中 2 者都是很类似的, CNNVD 的界面更加友好。

方式一:CNNVD

1、通过 CVE 搜素

2、搜索结果展示

方式二: CNVD

1、通过 CVE 搜素
2、搜索结果展示

三、相关链接

什么是CVE?
CNVD 与 CNNVD 的区别
漏洞都是怎么编号的CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD

CVE漏洞库网址
qq_58553228的博客
10-30 3054
CVE漏洞库URL
[网络]公共网络安全漏洞库:CVE/CNCVE
dexi113的博客
07-05 2329
以网络安全行业中最大的、影响范围最广的CVE为例。CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中漏洞评估工具中共享数据,虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。
分享几个CVE漏洞复现,从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
04-03 1045
漏洞复现,就像一场刺激的冒险,充满了未知挑战。希望今天的“开箱”体验,能让你对网络安全有更深入的了解,也希望你能在未来的安全道路上,越走越远,成为真正的安全大佬!
cve-search:强大的CVE漏洞信息检索工具
gitblog_00418的博客
09-28 1121
cve-search:强大的CVE漏洞信息检索工具 cve-search cve-search - a tool to perform local searches for known vulnerabilities 项目地址: ...
【实用经验】如何根据CVE编号找到安全补丁
慢就是快
12-07 2430
例如查找编号CVE-2019-0708 的漏洞,访问下面链接即可,替换末尾编号可获取其他漏洞更新补丁。最后根据实际情况下载对应补丁双击安装即可!
cve查询网址(漏洞查询地址)
shihuan830619的专栏
10-19 1万+
[url]http://cve.mitre.org/index.html[/url] 进入后单击右上角的Search CVE List,然后在Search Master Copy of CVE里面输入关键字查询
CVE(常见漏洞公开漏洞)搜索
Jingged的博客
03-28 2025
CVE编号是指"Common Vulnerabilities and Exposures"(常见漏洞公开漏洞编号。它是一个用于唯一标识计算机系统软件中的已知漏洞的标准化命名方案。CVE编号CVE组织分配给已公开的漏洞,以便安全研究人员、厂商用户能够准确地引用讨论特定的漏洞。每个CVE编号由"CVE-"前缀一个以年份开头的数字序列组成,后面跟着一个连字符一组数字。例如,"CVE-2021-12345"是一个CVE编号,表示在2021年被发现的第12345个已知漏洞
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1
03-15
Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux ...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包3麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
cpx_proftpd:漏洞利用工具 CVE-2015-3306
06-11
Daniel Aldana 针对漏洞利用的 PoC。 Vadim Melihow 报告的错误。 ###方法1: 用法: python cpx_proftp.py <IP> <REMOTE> 前任: python cpx_proftp.py 127.0.0.1 /etc/passwd /var/www/pass.txt 然后尝试...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
cve-search:cve-search-一种对已知漏洞执行本地搜索的工具
02-25
搜索 cve-search是一种工具,可将CVE(常见漏洞披露)CPE(通用平台枚举)导入MongoDB中,以方便CVE的搜索处理。 该软件的主要目的是避免对公共CVE数据库进行直接公共查找。 本地查询通常更快,您可以通过Internet限制敏感查询cve-search包括一个用于存储漏洞相关信息的后端,一个用于搜索管理漏洞的直观Web界面,一系列查询系统的工具以及一个Web API界面。 cve-search被许多组织使用,包括的。 本文档为您提供了如何从cve-search开始的基本信息。 有关更多信息,请参阅该项目的/ doc文件夹中的文档。 入门 查看以开始使用 用法 您可以使用search.py​​搜索数据库 ./bin/search.py -p cisco:ios:12.4 ./bin/search.py -p cisco:ios:12.4 -o js
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
提供的压缩包文件中,`FMJJ.jar`是补丁的主要文件,很可能包含了修复漏洞的Java类库配置文件。`README.txt`文件通常会提供关于如何应用补丁的详细步骤注意事项,包括系统要求、安装指南、可能的兼容性问题等。`...
几个cve漏洞查询网站
热门推荐
zhongxj183的博客
08-06 5万+
分享几个cve漏洞查询网站,自己在工作中经常用到 阿里云漏洞库 https://avd.aliyun.com/nvd/list tenable漏洞(nessus) https://www.tenable.com/cve/search https://cve.mitre.org/cve/search_cve_list.html https://nvd.nist.gov/vuln/search https://www.securityfocus.com/bid ...
「 网络安全常用术语解读 」通用漏洞披露CVE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-04 1万+
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员受攻击的软件供应商使用,以便确定回应安全漏洞CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述至少一个参考)。当前CVE累计收录了19万+个安全漏洞
cve漏洞(cve漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 809
怎样修复CVE-2015-5122漏洞 建议腾讯电脑管家修复 1)腾讯电脑管家会智能匹配电脑系统,针对性推送适合系统的高危漏洞补丁,而其他安全软件可能推送非高危漏洞补丁; 2)腾讯电脑管家推送最近发布的漏洞补丁包,而其他安全软件可能提示已过期的漏洞补丁(可以通过查看各安全软件的补丁发布日期得知)。 3)腾讯电脑管家...
如何在RedHat官网查询CVE漏洞信息
HeLLo_a119的博客
02-28 386
在官网导航栏中找到“Security”选项,点击进入后选择“Red Hat CVE Database”点击漏洞编号,进入详细页面,查看漏洞的描述、影响范围、修复建议等内容。在页面的搜索框中输入具体的 CVE 漏洞编号,然后点击搜索。1.访问红帽(Redhat)官网。2.按照以下路径逐步访问。3.搜索CVE漏洞编号。4.查看漏洞详细信息。
漏洞——CVE常见漏洞与暴露、CWE常见弱点枚举
计算机硕士的博客
09-21 2559
漏洞——CVE常见漏洞与暴露、CWE常见弱点枚举。
快速查找Windows与Linux系统不同版本对应的CVE漏洞
悦分享
08-11 666
使用一个共同的名字,可以帮助用户在各自独立的各种漏洞数据库中漏洞评估工具中共享数据,CVE就是在这样的环境下应运而生的。CNNVD是中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”,简称“CNNVD”,隶属于中国信息安全测评中心,是中国信息安全测评中心为切实履行漏洞分析风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。CNNVD的内容相对CVE更详细。
什么是CVE公告
03-27
<think>好的,用户之前询问了如何进行漏洞挖掘,现在又问到什么是CVE公告。我需要先理解CVE的概念,以及它漏洞挖掘之间的关系。用户可能是在学习信息安全,特别是在漏洞管理方面,或者他们可能参与漏洞挖掘,需要了解如何跟踪已公开的漏洞。 首先,CVE是通用漏洞披露的缩写,由MITRE公司维护。它是一个公开的漏洞数据库,每个漏洞有唯一的编号。用户可能需要知道CVE的作用,比如在漏洞披露流程中如何引用,或者如何查找已知漏洞的信息。 接下来,用户可能想知道CVE的结构,比如CVE编号的格式,例如CVE-2024-1234,以及每个部分代表什么。这有助于他们在研究或报告漏洞时正确引用。 用户还可能关心CVE的发布流程,从发现漏洞到分配编号,再到公开的过程。这里需要解释CVE编号机构(CNA)的角色,以及不同机构如何协作。例如,厂商、研究机构或MITRE自己都可以作为CNA。 另外,用户可能想知道如何利用CVE公告进行漏洞管理,比如在补丁发布前如何应对,或者如何参考CVE信息来加强系统安全。这部分需要说明CVE的价值,例如标准化漏洞标识,促进信息共享,帮助安全团队优先处理漏洞等。 还要考虑到用户可能的实际应用场景。比如,如果他们正在做漏洞挖掘,了解CVE可以帮助他们避免重复劳动,确保他们发现的漏洞是新的。此外,作为安全研究人员,他们可能需要通过CVE来正式披露自己发现的漏洞,因此了解流程很重要。 可能需要提到CVE的局限性,比如并非所有漏洞都会被收录,或者某些漏洞信息可能不够详细。这样用户能全面理解CVE的作用适用范围。 最后,用户可能想知道如何访问搜索CVE数据库,比如通过官方网站或第三方平台如NVD。提供一些具体例子或工具,可以增加回答的实用性。 总结来说,回答需要涵盖CVE的定义、结构、流程、应用场景以及相关资源,同时结合用户之前的漏洞挖掘问题,强调CVE漏洞管理研究中的重要性。</think>### CVE公告详解 **CVE**(Common Vulnerabilities and Exposures,通用漏洞披露)是国际公认的漏洞标准化标识体系,由非营利组织 **MITRE Corporation** 维护。其核心功能是为公开的网络安全漏洞提供唯一标识符标准化描述,形成全球统一的漏洞管理框架。 --- ### 一、CVE基础定义 1. **标识结构** 每个漏洞命名遵循固定格式: $$CVE\text{-}年份\text{-}序列号$$ 例如:`CVE-2024-1234` 表示2024年登记的第1234号漏洞。 2. **核心要素** - **唯一性**:全球范围内无重复编号 - **中立性**:不评价漏洞危害等级(需结合CVSS评分) - **开放性**:数据公开可查(官网:https://cve.mitre.org) --- ### 二、CVE发布流程 1. **漏洞发现** 由安全研究人员、厂商或自动化工具识别潜在漏洞。 2. **申请CVE-ID** 通过 **CNA**(CVE编号机构,全球约300家)提交申请: - **厂商CNA**:微软、谷歌等 - **国家CNA**:中国国家信息安全漏洞库(CNNVD) - **研究机构CNA**:MITRE自身 3. **审核与发布** CNA验证漏洞真实性后分配编号,72小时内同步至全球数据库。 --- ### 三、CVE公告内容 典型条目包含以下关键信息: | 字段 | 说明 | 示例 | |---------------------|--------------------------------------|-----------------------------------| | **CVE-ID** | 漏洞唯一标识符 | CVE-2024-1234 | | **描述** | 漏洞技术细节与影响范围 | "Linux内核内存越界写入漏洞..." | | **参考链接** | 补丁、分析报告或PoC地址 | [NVD链接]、[GitHub Commit] | | **CVSS评分** | 漏洞严重性量化指标(0-10分) | CVSS 3.1: 9.8(严重) | --- ### 四、CVE的应用场景 1. **漏洞管理** - 安全团队通过CVE编号快速定位补丁(如微软MSRC公告引用CVE-2024-XXXX) - 企业资产扫描工具(Nessus、OpenVAS)依赖CVE数据库匹配已知漏洞 2. **研究协作** - 学术论文漏洞报告通过CVE标识实现标准化引用 - 漏洞赏金平台(HackerOne)要求提交漏洞时关联CVE-ID 3. **合规要求** - 金融、医疗等行业需按PCI DSS、HIPAA等标准跟踪相关CVE修复进度 --- ### 五、CVE与NVD的关系 - **NVD**(美国国家漏洞数据库)是CVE的增强型数据库,提供: - 漏洞的 **CVSS评分** - 受影响产品清单(CPE匹配) - 修复时间线可视化 公式化关联: $$NVD = CVE + 元数据扩展 + 分析工具$$ --- ### 六、CVE的局限性 1. **覆盖不全** 部分0day漏洞在未公开前无CVE编号(需通过威胁情报平台追踪) 2. **信息延迟** 从漏洞提交到CVE发布平均需 **5-7个工作日** 3. **厂商差异** 某些厂商(如苹果)倾向于自行披露漏洞后才同步CVE --- ### 七、实践建议 1. **漏洞研究者** - 发现新漏洞后,通过CNA申请CVE-ID以规范披露 - 定期订阅CVE公告邮件(如MITRE CVE List) 2. **企业防御者** - 使用 **Vulnerability Management Platform**(如Tenable.io)关联资产与CVE - 制定补丁优先级策略: $$优先级 = CVSS评分 \times 资产暴露面$$ 3. **开发者** - 在代码注释中标注修复的CVE编号(示例): ```java // Fixed CVE-2024-5678: SQL injection in user input validation PreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE id=?"); ``` --- ### 八、扩展资源 - **官方入口** [CVE官网](https://cve.mitre.org) | [NVD数据库](https://nvd.nist.gov) - **中文支持** [CNNVD](https://www.cnnvd.org.cn)(中国国家漏洞库) - **API集成** 通过RESTful API(如`https://services.nvd.nist.gov/rest/json/cves/2.0`)实现自动化查询 通过CVE体系,全球安全社区得以在统一框架下协作,显著提升了漏洞响应效率。据统计,2023年CVE收录漏洞数达28,902个(数据来源:NIST),较2016年增长317%,凸显其作为网络安全基础设施的核心地位。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值