web-dev-qa-db-ja.com

Common Vulnerabilities and Exposures(CVE)はどのように機能しますか?

Common Vulnerabilities and Exposures(CVE)システムは、公開されているソフトウェアパッケージに含まれる既知の情報セキュリティの脆弱性と公開情報の辞書です。 。

私は次の質問に対する標準的な答えを探しています:

  • CVEはどのように機能しますか?

  • 特定の製品に関連するCVEをどのように見つけますか?

  • CVEの修正プログラムはどこにありますか?

  • リストされているすべてのCVEに修正プログラムがありますか?

  • リストされたCVEの修正プログラムが見つからない場合はどうすればよいですか?

さまざまな製品のCVEを特定、収集、表示するためにGoogle検索を実行しました。ただし、結果はさまざまですが、ユーザーがCVEシステムを認識し、製品のCVEを特定して収集するための段階的な手順に従うことができる基礎として、私の質問を使用できることを望んでいました。

2
KimberleyK

名前が示すように、CVEは2つのカテゴリに分類されます:脆弱性露出どちらも主に特定のソフトウェアコードまたはその構成のエラーであり、攻撃者が-たとえば-特権昇格(ユーザーレベルの環境でrootとしてコードを実行する)を取得したり、システムへの間接アクセスを取得したりする可能性があります/通信網。

(少なくとも)ポイントを解決しようとする前に、CVEを作成する最初の段階は、脆弱性を発見して開示することであることを覚えておくことが重要です。そして簡単にするために:

  • CVEはどのように機能しますか?:脆弱性が発見されて開示されると、CVE番号付け機関(- [〜#〜] cna [〜#〜] )はこの脆弱性にCVE IDを割り当て、CVEを CVEリスト に投稿します
  • 特定の製品に関連するCVEをどのように見つけますか?:周りには、次のような多くのリポジトリがあります。 @bonsaivikingによって提案されたものでは、 https://cve.mitre.org/https://www.cvedetails.com/ または https://nvd.nist.gov/ .。
  • CVEのホットフィックスはどこにありますか?:通常、ホットフィックスは影響を受けるソフトウェアによってプッシュされたアップデートです。ベンダー、これが、OS、ソフトウェア、Webブラウザを最新の状態に保つことが重要である理由です。
  • リストされているすべてのCVEに修正プログラムがありますか?簡単にするために、答えは[〜#〜] no [〜#〜]、研究者やバグハンターは通常、いわゆる脆弱性開示ポリシーを尊重します。簡単にするために、一般的な開示は、影響を受けるベンダーに連絡し、見つかった脆弱性を認識させることから始まります。たとえば、概念実証と技術的な詳細を提供することにより、ベンダーは関連する脆弱性を修正する必要がありますこの期限を過ぎて90日、脆弱性が開示される可能性があります、[〜#〜] if [〜#〜]これが発生すると、「バグ」にCVEが割り当てられます。
  • リストされたCVEの修正プログラムが見つからない場合はどうすればよいですか?一般的に、ベンダーからの更新を待つか、影響を受けるソフトウェアの使用を回避する以外に何もありません。

答えは網羅的ではありませんでしたが、それが役に立ったことを願っています!

4
Soufiane Tahiri