Come funzionano le vulnerabilità e le esposizioni comuni (CVE)?

1

Il sistema di vulnerabilità ed esposizioni comuni (CVE) è un dizionario di vulnerabilità di sicurezza delle informazioni note pubblicamente e esposizioni in pacchetti software rilasciati pubblicamente.

Sto cercando una risposta canonica alle seguenti domande:

  • Come funzionano i CVE?

  • Come trovi un CVE relativo ad un particolare prodotto?

  • Dove posso trovare un hotfix per un CVE?

  • Tutti i CVE elencati hanno aggiornamenti rapidi?

  • Che cosa faccio se non riesco a trovare un hotfix per un CVE in elenco?

Ho eseguito una ricerca su google per identificare, raccogliere e visualizzare CVE per prodotti diversi. I risultati sono tuttavia diversi e speravo che saremmo stati in grado di utilizzare la mia domanda come base da cui gli utenti possono venire a conoscenza del sistema CVE e di seguire una procedura dettagliata per l'identificazione e la raccolta dei CVE dei prodotti.

    
posta KimberleyK 26.06.2015 - 03:22
fonte

1 risposta

4

Come suggerisce il nome, CVE è diviso in due categorie: Vulnerabilità e Esposizioni entrambi sono principalmente errori in un dato codice software o nella sua configurazione che, rispettivamente, possono consentire un attacker per -per esempio- ottenere un escalation di privilegi (eseguendo un codice come root su un ambiente a livello di utente) o per ottenere un accesso indiretto a un sistema / rete.

Prima di provare (almeno) ad indicare i tuoi punti, è importante ricordare che la prima fase della creazione di un CVE è scoprire e divulgare una vulnerabilità. E per semplicità:

  • Come funzionano i CVE? : una volta scoperta e divulgata una vulnerabilità, le autorità di numerazione CVE ( CNA ) assegna a questa vulnerabilità un ID CVE, quindi pubblica il CVE nella lista CVE
  • Come trovi un CVE relativo a un particolare prodotto? : ci sono molti repository in giro, come quello suggerito da @bonsaiviking, puoi usare link , link o link ...
  • Dove posso trovare un hotfix per un CVE? : in genere le hot fix sono aggiornamenti spinti dai fornitori di software interessati, questo è il motivo per cui è importante mantenere gli OS, i software, i browser Web aggiornati .
  • Tutti i CVE elencati hanno aggiornamenti rapidi? Per semplificare la risposta è NO , i ricercatori e i cacciatori di bug di solito rispettano ciò che viene chiamato Politica di divulgazione delle vulnerabilità , per semplificare, una descrizione tipica inizia contattando il fornitore interessato e rendendola consapevole della vulnerabilità rilevata, fornendo ad esempio una Prova di concetto e dettagli tecnici, il fornitore deve correggere il problema vulnerabilità entro 90 giorni superando questa scadenza, la vulnerabilità potrebbe essere rivelata, SE questo accade, quindi al "bug" viene assegnato un CVE.
  • Che cosa devo fare se non riesco a trovare un hotfix per un CVE in elenco? In generale, nulla eccetto l'attesa di un aggiornamento dal fornitore o l'utilizzo del software interessato .

La risposta non è stata esaustiva, ma spero che sia stata di aiuto!

    
risposta data 04.04.2017 - 14:54
fonte

Leggi altre domande sui tag