これをダウンロードして解析する必要があるアプリケーションの開発に取り組んでいます[〜#〜] cpe [〜#〜]ファイル定義:- http://static.nvd.nist.gov/feeds/xml/cpe/dictionary/official-cpe-dictionary_v2.3.xml
私の問題は次のとおりです。
(XMLファイルの)エントリに、次のようなものが見つかりました。
<vuln:vulnerable-configuration id="http://nvd.nist.gov/">
<cpe-lang:logical-test negate="false" operator="OR">
<cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.10"/>
<cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.12"/>
<cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.24"/>
<cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.3:beta"/>
..........................................
..........................................
..........................................
<cpe-lang:fact-ref name="cpe:/a:Apache_software_foundation:Tomcat:5.3"/>
<cpe-lang:fact-ref name="cpe:/a:Apache_software_foundation:Tomcat:5.4"/>
<cpe-lang:fact-ref name="cpe:/a:Apache_software_foundation:Tomcat:5.5"/>
</cpe-lang:logical-test>
</vuln:vulnerable-configuration>
<vuln:vulnerable-software-list>
<vuln:product>cpe:/a:Apache_software_foundation:Tomcat:4.1.34</vuln:product>
<vuln:product>cpe:/a:Apache:Tomcat:5.5.21</vuln:product>
<vuln:product>cpe:/a:Apache_software_foundation:Tomcat:4.1.37</vuln:product>
<vuln:product>cpe:/a:Apache_software_foundation:Tomcat:4.1.32</vuln:product>
.....................................
.....................................
.....................................
<vuln:product>cpe:/a:Apache:Tomcat:5.5.22</vuln:product>
<vuln:product>cpe:/a:Apache:Tomcat:4.1.36</vuln:product>
<vuln:product>cpe:/a:Apache:Tomcat:5.5.25</vuln:product>
<vuln:product>cpe:/a:Apache:Tomcat:5.5.1</vuln:product>
</vuln:vulnerable-software-list>
ご覧のとおり、2つの異なるコレクションがあります。最初のコレクションはタグのコンテンツによって表され、2番目のコレクションはタグのコンテンツによって表されます
これらのコレクションは正確に何を表し、それらの違いは何ですか?
Tnx
cpe-langは、脆弱な製品の他の依存関係があるかどうかを示します。 NVD CVEを確認すると、一部の製品は一部の特定のプラットフォームでのみ脆弱であることがわかります。例えば
<cpe-lang:logical-test negate="false" operator="AND">
<cpe-lang:logical-test negate="false" operator="OR">
<cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::desktop"/>
<cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::desktop_multiple_os"/>
<cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::server"/>
<cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::virtualization"/>
<cpe-lang:fact-ref name="cpe:/o:redhat:Fedora_core:core_5.0"/>
<cpe-lang:fact-ref name="cpe:/o:redhat:Fedora_core:core6"/>
</cpe-lang:logical-test>
<cpe-lang:logical-test negate="false" operator="OR">
<cpe-lang:fact-ref name="cpe:/a:xen:qemu"/>
</cpe-lang:logical-test>
</cpe-lang:logical-test>
<vuln:vulnerable-software-list>
<vuln:product>cpe:/a:xen:qemu</vuln:product>
</vuln:vulnerable-software-list>
それはどういう意味ですか? xen:qemuは、redhat:enterprise_linux :: *およびFedora core *でのみ脆弱です。したがって、このxmlを解析してvuln:productのみを取得すると、一部の製品では不正確になります。
cpelanは-CPE言語照合アルゴリズムの略で、NISTによって作成されました。ここにあなたはより多くの情報を見つけるでしょう: https://cpe.mitre.org/specification/