Common Vulnerabilities and Exposures(CVE)システムは、公開されているソフトウェアパッケージに含まれる既知の情報セキュリティの脆弱性と公開情報の辞書です。 。
私は次の質問に対する標準的な答えを探しています:
CVEはどのように機能しますか?
特定の製品に関連するCVEをどのように見つけますか?
CVEの修正プログラムはどこにありますか?
リストされているすべてのCVEに修正プログラムがありますか?
リストされたCVEの修正プログラムが見つからない場合はどうすればよいですか?
さまざまな製品のCVEを特定、収集、表示するためにGoogle検索を実行しました。ただし、結果はさまざまですが、ユーザーがCVEシステムを認識し、製品のCVEを特定して収集するための段階的な手順に従うことができる基礎として、私の質問を使用できることを望んでいました。
名前が示すように、CVEは2つのカテゴリに分類されます:脆弱性と露出どちらも主に特定のソフトウェアコードまたはその構成のエラーであり、攻撃者が-たとえば-特権昇格(ユーザーレベルの環境でrootとしてコードを実行する)を取得したり、システムへの間接アクセスを取得したりする可能性があります/通信網。
(少なくとも)ポイントを解決しようとする前に、CVEを作成する最初の段階は、脆弱性を発見して開示することであることを覚えておくことが重要です。そして簡単にするために:
答えは網羅的ではありませんでしたが、それが役に立ったことを願っています!