「 网络安全常用术语解读 」通用漏洞披露CVE详解_cve漏洞库
「 网络安全常用术语解读 」通用漏洞披露CVE详解_cve漏洞库
什么是CVE?CVE是由哪个组织定义和维护的?CVE主要用途是什么?CVE共有多少个条目?CVE与NVD的关系?如何申请CVE?读完本文你将收获所有答案。
1. 简介
CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。当前CVE累计收录了19万+个安全漏洞,具体的漏洞清单可以点击下载,访问密码6277。
举例: 2021年底披露的核弹级Apache Log4j代码执行漏洞对应的CVE ID为CVE-2021-44428。
近5年的CVE ID披露统计信息如下:
年份 | Q4 | Q3 | Q2 | Q1 | 总数 |
|---|---|---|---|---|---|
2022 | 6,231 | 6,448 | 6,365 | 6,015 | 25,059 |
2021 | 5,200 | 5,541 | 5,005 | 4,415 | 20,161 |
2020 | 4,387 | 4,170 | 5,011 | 4,807 | 18,375 |
2019 | 4,822 | 5,150 | 4,091 | 3,245 | 17,308 |
2018 | 3,614 | 4,350 | 4,613 | 3,935 | 16,512 |
Note:可以看到漏洞数量逐年上升,个人认为主要原因是开源软件的广泛使用,很多企业及个人开发者为了快速构建软件,直接引入了大量存在安全风险的开源软件。
2. 命名规则
CVE的命名格式为CVE-YYYY-NNNN,其中YYYY是由四位年份数字组成(如2023),NNNN为至少4位的数字。
正则表达式:
^CVE-(2\d{3}|1999)-\d{4,}$
Note:
1、最早的CVE ID年份为1999,当年共披露了321个CVE ID。
2、记录创建日期可能反映CVE ID的分配或保留时间,但不一定表明此漏洞是何时在CVE中发现、与受影响的供应商共享、公开披露或更新的。
3. 如何申请CVE ID
要申请CVE ID需要提交一个申请表,并向CVE官方提交漏洞详细信息,包括漏洞描述、时间、位置、影响范围等。可以直接向CVE官方申请CVE ID,但推荐通过CNA来申请CVE ID,因为CNA可以为您提供更多的帮助,例如审核漏洞报告和与CVE官方的沟通支持。
3.1. 通过官网申请
申请网址:https://cveform.mitre.org/
3.2. 通过CNA申请
申请网址:https://www.cve.org/AllResources/ReserveIDsPublishRecords
4. CVE关键属性
4.1. CVE ID查询
登录CVE官网https://www.cve.org/,在以下输入框中输入CVE ID即可查询CVE详情
4.2. 属性列表
属性 | 描述 | 举例 |
|---|---|---|
CVE ID | CVE编号 | CVE-2021-44228 |
Assigner | 分配者 | Apache |
Published | 发布日期 | 2021-12-10 |
Updated | 更新日期 | 2022-12-09 |
Description | 漏洞描述 | Apache Log4j2 2.0-beta9到2.15.0(不包括安全版本2.12.2、2.12.3和2.3.1)配置、日志消息和参数中使用的JNDI功能不能防止攻击者控制的LDAP和其他JNDI相关端点。 |
References | 参考,一般是漏洞的来源信息或参考信息 | CERT-VN:VU#930724 |
Assigning CNA | CVE 编号机构,表示CVE ID的申请机构 | Apache Software Foundation |
Date Record Created | 记录创建日期,表示CVE ID发布给CVE编号机构(CNA)或CVE记录发布在CVE列表上的时间 | 20211126 |
Note:
- 通过参考链接和信息可以更加深入了解漏洞;
- 记录创建日期可能反映CVE ID的分配或保留时间,但不一定表明此漏洞是何时在CVE中发现、与受影响的供应商共享、公开披露或更新的。
5. CVE状态
5.1. RESERVED 保留
已经供CVE编号机构(CNA)或安全研究人员使用,但其详细信息尚未公布时,CVE记录会被标记为RESERVED。
5.2. DISPUTED 争议
当一方不同意另一方关于特定问题是漏洞的主张时,CVE记录可能被指定为DISPUTED。在此情况下,CVE官方没有确定哪一方是正确的。
5.3. REJECT 拒绝
列为REJECT的CVE记录是不被接受的记录。CVE记录被标记为REJECT的原因一般会在CVE记录的描述中说明。可能的原因包括:
- 重复的CVE记录
- 被原始请求者撤回
- 被错误分配
- 其他一些管理原因
Note:通常情况下,我们应忽略被标记为REJECT的CVE记录。
5.4. PUBLISHED 发布
列为PULISHED状态的CVE记录表明已经正常披露,漏洞基础信息一般比较完整。
6. 常见问题
6.1. CVE为什么没有提供修补信息、技术细节信息?
我们知道在众多漏洞网站、数据库和安全工具数据库中都可以找到这些信息,但CVE提供给我们漏洞信息却很少,因为CVE目标是将这些不同的漏洞库通过CVE ID联系起来,而不是取代它们。
Note:美国国家漏洞数据库(NVD)为CVE列表上的记录提供修复和其他信息。在国内有CNVD和CNNVD两大免费中文漏洞库,其中也包含了所有的CVE漏洞详细信息。
6.2. CVE和NVD是什么关系?
CVE和NVD是两个独立的项目。CVE是MITRE公司1999年推出的,美国国家漏洞库(NVD)是2005年由美国国家标准与技术研究所(NIST)推出。
- CVE:是一份记录列表,每个记录包含一个识别号、一个描述,以及至少一个公开的已知网络安全漏洞参考。CVE 记录被用于世界各地的众多网络安全产品和服务,包括NVD。
- NVD:建立在CVE列表上并与之完全同步的漏洞数据库,以便CVE的任何更新都会出现在NVD中。
- 两者关系:CVE列表向NVD提供信息,NVD随后基于CVE记录中包含的信息,为每个记录提供更加详细的信息,如修复信息、严重性评分和影响评级。NVD同时还提供高级搜索功能,可支持按操作系统、供应商名称、产品名称、产品版本号以及漏洞类型、严重性、漏洞利用范围和影响检索漏洞信息。
Note:虽然CVE和NVD是独立的,但它们都由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)赞助,公众可以免费使用。