Domande con tag 'cve'

domande con tag
2
risposte

Esiste un modo pratico per identificare le vulnerabilità di sicurezza che sono state pubblicate in seguito a una politica di divulgazione completa?

Sto conducendo uno studio sulle diverse politiche di divulgazione delle vulnerabilità nel tentativo di determinare quanto tempo impiega un determinato fornitore a pubblicare una correzione / patch, a seconda di come è stata divulgata una determi...
posta 27.06.2016 - 19:42
1
risposta

Cosa succede quando una vulnerabilità è stata aggiunta a un database? (CVE) [chiuso]

Cosa succede quando una vulnerabilità è stata aggiunta a un database? Cioè, cosa possiamo fare (sicurezza / professionisti IT) a riguardo? Come possiamo scoprire cosa fare?     
posta 19.10.2016 - 23:00
1
risposta

Come funzionano le vulnerabilità e le esposizioni comuni (CVE)?

Il sistema di vulnerabilità ed esposizioni comuni (CVE) è un dizionario di vulnerabilità di sicurezza delle informazioni note pubblicamente e esposizioni in pacchetti software rilasciati pubblicamente. Sto cercando una risposta canonica a...
posta 26.06.2015 - 03:22
2
risposte

Nel contesto di un CVE, cosa significa "vettori non specificati"?

Prendiamo questo CVE ad esempio: link obtain administrative access via unspecified vectors. Quali vettori non specificati significa? Ho visto questo termine in un molto di CVE. Questo significa tramite fattori non specificat...
posta 04.03.2015 - 11:20
3
risposte

Esistono altre vulnerabilità rispetto al CVE di NVD

Sono consapevole che esiste la lista CVE pubblicata da NVD. Esistono altri elenchi di vulnerabilità importanti che mostrano vulnerabilità diverse dai NVD? Thx     
posta 09.12.2013 - 09:37
1
risposta

Come posso sapere se un attacco è ancora valido, se non c'è CVE per questo?

Ho trovato un PoC per un attacco MitM verso RDP pubblicato a marzo 2017 ma nessun CVE in nessuno dei database e nessuna menzione di patch di Microsoft. Voglio sapere se funziona ancora, come potrei scoprirlo senza testarlo da solo?     
posta 06.07.2017 - 12:14
2
risposte

Che cosa è esattamente CVE-2016-3862 e come funziona?

Ne ho sentito parlare forse una settimana fa e mi sembra una vulnerabilità estremamente critica. Ma non ho trovato alcuna descrizione tecnica di esso. Solo che è possibile eseguire il codice da remoto solo inviando l'immagine appositamente creat...
posta 11.09.2016 - 23:03
2
risposte

Perché alcuni attacchi sono più famosi di altri (heartbleed, BEAST, POODLE, ecc.)?

Es. Heartbleed, alias CVE-2014-0160, ha solo una gravità CVE di 5.0. Eppure i media sono impazziti per questi bug. È perché hanno un nome interessante e un logo, o la metrica di gravità CVE è in qualche modo imperfetta?     
posta 05.03.2015 - 23:12
2
risposte

CVE di Microsoft Windows?

So che siti come cvedetails e exploit-db dispongono di CVE specifici per Windows 10. Ma microsoft.com non ha un elenco (o feed) di avvisi di vulnerabilità e CVE recentemente divulgati? Ho controllato il loro sito web (che è un po 'di confusione...
posta 27.10.2018 - 02:19
1
risposta

NVD: Come eseguire una query senza falsi positivi quando le voci CPE non vengono compilate per molti CVE?

Quindi il mio approccio ingenuo era di interrogare NVD per gli URI CPE dei prodotti software che uso. Purtroppo ho notato che molte voci non hanno voci CPE. (ad esempio per il 2016 ci sono attualmente 1332 senza URI CPE). Quindi questo sig...
posta 03.07.2018 - 15:33