web-dev-qa-db-ja.com

脆弱性がCVEの対象となるためには、どの程度一般的ですか?

CVEになるのに十分一般的な脆弱性はどれですか? 「アプリケーション」のみに関連していますか、それともWebサイトも受け入れられますか?人気のないWebサイト(またはローカルサービス)の脆弱性は十分に一般的と見なされていますか?

10
SeMeKh

CVE FAQ から:

情報セキュリティの脆弱性は、システムまたはネットワークにアクセスするためにハッカーが直接使用できるソフトウェアの誤りです。 CVE Webサイトでこの用語がどのように使用されるかについての完全な説明は、用語のページを参照してください。

CVEの意図は、すべての既知の脆弱性とエクスポージャーに関して包括的であることです。 CVEは成熟した情報を含むように設計されていますが、私たちの主な焦点は、セキュリティツールによって検出された脆弱性とエクスポージャー、および公開されている新しい問題を特定することです。

個々のWebサイトが侵害された場合、Webサイトの所有者が公表することはまずありません。彼らが詳細を公開し、それが自社の専有ソフトウェアのみに影響を与える場合、それは公開にはほとんど価値がありません。脆弱性が一部のベンダー(オ​​ープンまたはクローズド)によって使用および作成されたソフトウェアにあった場合、CVEになる可能性があります。

Webサイトが侵害された場合、それはCVEタイプの攻撃の結果ではないかもしれませんが、より一般的な Common Weakness Enumeration(CWE )かもしれません。たとえば、サイトがSQLインジェクションまたはXSSによって侵害された場合、特定の文字列はCVEではない可能性がありますが、CWEに分類できます。

特定のWebサイト攻撃の詳細を探している場合は、 プライバシー権のクリアリングハウスのデータ違反リスト などの違反レポートを探します。

これをテストする最良の方法は、検索結果を送信して、CVEコミュニティがレビュープロセスでそれをどう処理したいかを確認することです。

10
Eric G

CVEは、サービス(Webサイトなど)の脆弱性ではなく、出荷されて消費されるソフトウェアの脆弱性に対するものです。したがって、サービス(Webサイトなど)の脆弱性がソフトウェアパッケージとして広く利用可能なもの(Apacheのルートにある欠陥、またはPHPまたはWordPressにある場合_など)その後、そのソフトウェアパッケージ内の欠陥はCVEを取得します。

欠陥がダウンロードできないカスタム作成ソフトウェアであるサービス(Amazon、eBayなど)にある場合、その脆弱性はCVEを取得しません。

最終的にCVEの目的は、脆弱性の識別子を提供することです。これにより、複数の組織(例えば、レポーターとアップストリーム、およびそれを使用するコミュニティ)が脆弱性について話し合う必要がある場合、全員が実際に同じことについて話していることを確認できます。 。

1
Kurt

正確を期すために、CVEの対象となるベンダー/ソフトウェアを公開しています。 CVE Products Covered

0
Yuri