聊聊CVE漏洞编号和正式公开那些事

最新推荐文章于 2024-07-02 08:52:48 发布
最新推荐文章于 2024-07-02 08:52:48 发布
阅读量5.5k 收藏 5
点赞数
分类专栏: 漏洞 文章标签: CVE

聊聊CVE漏洞编号和正式公开那些事

一 CVE漏洞编号是谁颁发的?

CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加,MITRE将漏洞编号的赋予工作转移到了其CNA(CVE Numbering Authorities)成员。CNA涵盖5类成员。目前共有69家成员单位。

1.MITRE:可为所有漏洞赋予CVE编号;

2.软件或设备厂商:如Apple、Check Point、ZTE为所报告的他们自身的漏洞分配CVE ID。该类成员目前占总数的80%以上。

3.研究机构:如Airbus,可以为第三方产品漏洞分配编号;

4.漏洞奖金项目:如HackerOne,为其覆盖的漏洞赋予CVE编号;

5.国家级或行业级CERT:如ICS-CERT、CERT/CC,与其漏洞协调角色相关的漏洞。

 

二 如何获得CVE编号

步骤1:预定CVE漏洞编号

(1)填申请表申请CVE编号

申请表中会要求填写漏洞类型、产品厂商、受影响产品或代码及版本、厂商是否已确认该漏洞、攻击类型、影响类型、受影响组件、攻击方法或利用方法、CVE描述建议等。

其中,CNA成员单位产品相关的漏洞,必须发给该CNA成员并向其申请CVE编号。

(2)MITRE或CNAs成员保留并向提交者分配CVE编号

提交者会收到如下邮件。

(3)MITRE在CVE网站创建跟这些CVE编号有关的无内容的“空白”页面;漏洞状态为RESERVED。 

也就是说,RESERVED(保留)状态只是说MITRE和CNAs成员收到了这个漏洞,漏洞质量或真实性是未经过验证的。

那么CVE漏洞是如何验证的,如何确保其是真实有效的漏洞,下面就是关键的一步。

 

步骤2:公开CVE漏洞进行验证

(4)公开漏洞信息

请求者需通过可靠渠道公开披露或与漏洞相关方分享这些CVE-ID编号漏洞信息。比如联系上面列举的的CNAs列表中的厂商,他们将在其首次公开宣布你的新漏洞时包含CVE-ID编号,多数厂商会在致谢词中提及漏洞致谢者的名称,如下所示。

(5)请求和将公开的CVE-ID编号通知MITRE。

MITRE去掉RESERVED标识,公开漏洞详细信息,并且reference中会包含厂商的漏洞公开页面。也就是说只有这个阶段的漏洞才是经过验证为真实的有效的漏洞。

MITRE的这一措施是为了对CVE的漏洞质量进行把控,比如有些提交者提交的漏洞被发现是虚假的或存在问题的

只有状态已经为公开的才是有效的漏洞,否则仅仅是预定了一个CVE编号,很大可能毫无价值和意义!

 

公羽龙天
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
请及时打补丁 | 80%的漏洞利用公开时间早于CVE编号获得时间
systemino的博客
09-02 487
Exploit Database Exploit Database 是最大的公开漏洞利用库。截至目前,Exploit Database中有45450个漏洞利用。图1左是按照漏洞利用类型分类的漏洞利用数和公布时间,图1右是按照平台分布的漏洞利用。统计数据表明web应用是2003之后最流行的漏洞利用。 图1(左)按照漏洞利用类型分类的漏洞利用数和公布时间(右)按照平台分布的漏洞利用 图2是CVSS 2.0评分和漏洞利用的严重等级。49%的漏洞利用为严重等级为high(CVSS >=7),45%的
weblogic 漏洞统计 CVE
09-18
3566、CVE-2015-0449、CVE-2014-6569、CVE-2013-2186、CVE-2017-3248、CVE-2011-1411、CVE-2011-5035:这些早期的CVE编号显示了WebLogic历史上存在的安全问题,需要定期评估系统的安全状态,并进行必要的更新和补丁...
CVE提交流程(包含漏洞公开过程)
weixin_41308444的博客
01-30 5904
CVE提交流程(包含漏洞公开过程)
「 网络安全常用术语解读 」通用漏洞披露CVE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-04 9390
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞
【网络安全渗透测试零基础入门必知必会】之cve实际漏洞案例解析(非常详细)零基础入门到精通, 收藏这一篇就够了2
Libra1313的博客
07-02 1033
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段文件包含渗透与防御第1篇。本文主要讲解漏洞丨实例分析cve2012-0158一、漏洞简介Microsoft Office 2003 sp3是2007年9月18日由微软公司创作的一个办公软件。精简版包含 Word、Excel、PowerPoint、Access、OutLook 五大组件常用功能。
【工作小知识】CVE漏洞编号
AdamYaoCharlie的博客
02-25 6907
被安全办疯狂追杀的日子 各方沟通起来,使用统一的漏洞标准:CVE编号。 【如:国寿集团扫描出来的漏洞、广发内部的漏洞;模管的漏洞 - RTP的漏洞 - CDH集群的漏洞,都可以根据这个编号来对齐,从而讨论问题的节点】 那么CVE编号到底是个啥呢? 一、CVE编号基础: CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加,MITRE将漏洞编号的赋予工作转移到了其CNA(CVE Numbering Authorities)成员。CNA涵盖5类成员。目前共有69家成员单位。 1
CVE申请的那些
Fly_鹏程万里
07-19 3351
什么是CVE 对于新手来说申请CVE总是摸不清门道,总觉得像这种国际化的高大上漏洞很难申请到,其实则不然,CVE的全称是“Common Vulnerabilities and Exposures”翻译成中文就是“公共漏洞和披露”可以把它理解成一个被安全从业者认可的漏洞字典,大家可以通过编号在这里查找不同应用或系统的漏洞信息。当然很多安全企业或国家机构也都会引用CVE作为其漏洞库,比如美国国家漏洞...
CNVD、CNNVD、CICSVD、NVD、CVE等区别与联系详解
热门推荐
Hardworking666的博客
01-09 2万+
文章目录一、CNVD(国家信息安全漏洞共享平台)CNCERT(国家互联网应急中心)ANVA(中国反网络病毒联盟)二、CNNVD(中国国家信息安全漏洞库)CNITSEC(中国信息安全测评中心)三、CICSVD(国家工业信息安全漏洞库,工业控制产品安全漏洞专业库)CICS-CERT(国家工信安全中心) 一、CNVD(国家信息安全漏洞共享平台) 国家信息安全漏洞共享平台(CNVD,China National Vulnerability Database) 是由国家计算机网络应急技术处理协调中心(中文简称:国..
小白学安全-漏洞编号的理解 CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD
xqdd的专栏
11-09 2201
CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。假设在一个漏洞报告中指明的一个漏洞,假设有CVE名称,你就能够高速地在不论什么其他CVE兼容的数据库中找到对应修补的信息,解决安全问题。是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家信息安全漏洞库,为我国信息安全保障提供基础服务。CNCVE就是中国(CN)的CVE,是CNCERT/CC(国家计算机网络应急处理协调中心)为漏洞进行编号的一个自己的标准,即国家计算机网络应急处理协调中心。
requests库爬取信息安全漏洞门户网站的CVE漏洞信息.zip
最新发布
08-05
requests库爬取信息安全漏洞门户网站的CVE漏洞信息.zip
Seebug、structs、cve漏洞实时监控推送系统.zip
08-05
Seebug、structs、cve漏洞实时监控推送系统.zip
记录一次CVE申请过程
m0_43397796的博客
06-01 4120
跟着网上的教程申请了CVE,简单记录一下申请过程。
CVE(通用漏洞披露)
Robin.Wang Tech Blog
04-18 168
实时入侵检测和漏洞扫描评估基于的主要方法还是“已知入侵手法检测”和“已知漏洞扫描”,换句话说就是基于知识库的技术。可见,决定一个IDnA技术和产品的重要标志就是能够检测的入侵种类和漏洞数量。
CVE申请
dtf_csy的博客
12-14 961
一、如何去申请CVE编号? 大体上分为以下两种: 第一种:找Participating CNA要CVE编号 Participating CNA的意思就是参与CNA,可以理解为参与CVE计划的公司或项目发起者,总之就是有产品拿出来让大家挖漏洞的,这些CNA有一个列表CNA列表,按照列表中给的联系方式和CNA厂商直接联系获取CVE 邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁 第二种:找Primary CNA要CVE编号公开披露) 找主CNA要编号,也就是MIT
CVE编号公开15分钟,黑客就会开始扫描
smellycat000的专栏
07-28 423
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Palo Alto 公司Unit 42 团队发布《件响应报告》指出,系统管理员修复安全漏洞所拥有的时间要比之前想象得更少,威胁行动者会在CVE漏洞发布15分钟内开始扫描易受攻击的端点。报告指出,黑客一直不断地监控软件厂商通告版中出现的新漏洞,并借此对企业网络进行初始访问或实施远程代码执行。威胁行动者开始扫描漏洞的速度让...
CVE-2017-11882漏洞分析
datouyu0824的博客
03-21 1661
1. 软件简介 Office 是一套由微软公司开发的办公软件,为Windows和AppleMacintosh操作系统而开发。与办公室应用程序一样,它包括联合的服务器和基于互联网的服务。 Eqnedt32.exe为各版本的微软Office公式编辑器组件 2. 漏洞成因 CVE-2017-11882属于缓冲区溢出类型漏洞,产生漏洞原因于EQNEDT32.EXE(微软office自带公式编辑器)进程在读入包含MathType的ole数据时,在拷贝公式字体名称(Font Name数据)时没有对名称长度进行校
什么是CVE?常见漏洞和暴露列表概述
Trinity_Techologies的博客
05-18 1万+
常见漏洞和暴露(Common Vulnerability and Exposures,简称CVE)收集了已知的网络安全漏洞和暴露,以帮助您更好地保护您的嵌入式软件。 在这里,我们会阐释什么是CVECVE列表中包括哪些内容,以及它如何帮助确保您的软件是安全的。
cve编号漏洞和其特征
04-05
CVE编号是一种用于标识计算机系统中存在的安全漏洞的命名规范。每个CVE编号都代表一个独特的漏洞,并包含有关漏洞的详细信息,例如漏洞的类型、危害级别、影响范围和修复建议。 漏洞的特征可以根据其类型而变化,但以下是一些常见的漏洞特征: 1. 缓冲区溢出:一种常见的漏洞类型,攻击者通过向程序输入超过缓冲区容量的数据来覆盖程序的内存空间,从而执行恶意代码。 2. SQL注入:攻击者通过在Web应用程序中注入恶意代码来访问或修改数据库中的敏感数据。 3. 跨站脚本攻击(XSS):攻击者通过在Web应用程序中注入恶意脚本来窃取用户敏感信息或执行其他恶意操作。 4. 跨站请求伪造(CSRF):攻击者利用已登录用户的身份在用户不知情的情况下发送伪造请求,从而执行恶意操作。 5. 未经身份验证的远程命令执行:攻击者通过向网络服务发送恶意请求来执行远程命令,从而接管受害者的计算机。 6. 拒绝服务攻击(DoS):攻击者利用网络服务漏洞来占用服务器资源,从而使服务不可用。 7. 恶意软件:包括病毒、木马、蠕虫等恶意软件,它们可以窃取受害者的敏感数据或破坏受害者的计算机系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值