Come suggerisce il nome, CVE è diviso in due categorie: Vulnerabilità e Esposizioni entrambi sono principalmente errori in un dato codice software o nella sua configurazione che, rispettivamente, possono consentire un attacker per -per esempio- ottenere un escalation di privilegi (eseguendo un codice come root su un ambiente a livello di utente) o per ottenere un accesso indiretto a un sistema / rete.
Prima di provare (almeno) ad indicare i tuoi punti, è importante ricordare che la prima fase della creazione di un CVE è scoprire e divulgare una vulnerabilità. E per semplicità:
-
Come funzionano i CVE? : una volta scoperta e divulgata una vulnerabilità, le autorità di numerazione CVE ( CNA ) assegna a questa vulnerabilità un ID CVE, quindi pubblica il CVE nella lista CVE
-
Come trovi un CVE relativo a un particolare prodotto? : ci sono molti repository in giro, come quello suggerito da @bonsaiviking, puoi usare link , link o link ...
-
Dove posso trovare un hotfix per un CVE? : in genere le hot fix sono aggiornamenti spinti dai fornitori di software interessati, questo è il motivo per cui è importante mantenere gli OS, i software, i browser Web aggiornati .
-
Tutti i CVE elencati hanno aggiornamenti rapidi? Per semplificare la risposta è NO , i ricercatori e i cacciatori di bug di solito rispettano ciò che viene chiamato Politica di divulgazione delle vulnerabilità , per semplificare, una descrizione tipica inizia contattando il fornitore interessato e rendendola consapevole della vulnerabilità rilevata, fornendo ad esempio una Prova di concetto e dettagli tecnici, il fornitore deve correggere il problema vulnerabilità entro 90 giorni superando questa scadenza, la vulnerabilità potrebbe essere rivelata, SE questo accade, quindi al "bug" viene assegnato un CVE.
-
Che cosa devo fare se non riesco a trovare un hotfix per un CVE in elenco? In generale, nulla eccetto l'attesa di un aggiornamento dal fornitore o l'utilizzo del software interessato .
La risposta non è stata esaustiva, ma spero che sia stata di aiuto!