大家好,我是你的好朋友思创斯。今天说一说漏洞补丁:漏洞命名(cve和cnnvd)及补丁查找「终于解决」,希望您对编程的造诣更进一步.
摘要:以前一个项目,最近收到一份脆弱性分析报告(漏洞报告),通过这份报告小技能 1,记录一下报告中几个重要编号说明和如何下载对应的补丁文件。
截图为报告的部分内容,里面包含了编号,描述,解决地址。这里对 cve编号,cvss分值,国家漏洞库编号(cnnvd)等几个主要名称含义进行记录。
1、cve编号
cve金沙1005官网:
参考链接地址:
cve(common vulnerabilities and exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表。it人员、安全研究人员查阅cve获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。
在cve中,每个漏洞按cve-1999-0067、cve-2014-10001、cve-2014-100001这样的形式编号。cve编号是识别漏洞的唯一标识符。cve编号由cve编号机构(cve numbering authority,cna)分配,cve编号机构主要由it供应商、安全厂商和安全研究组织承担。
2、cvss分值
cve金沙1005官网:
参考链接地址:
cvss的分值代表漏洞的严重程度,分值范围为0.0到10.0,数字越大漏洞的严重程度越高。cvss评分往往是漏扫工具、安全分析工具不可或缺的信息。
3、cnnvd编号(国家漏洞库编号)
cnnvd金沙1005官网:
参考链接地址:
cnnvd是中国国家信息安全漏洞库,英文名称“china national vulnerability database of information security”,简称“cnnvd”,隶属于中国信息安全测评中心(一般简称国测,国测的主管单位是security部),是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。
4、cnvd编号
cnvd金沙1005官网:
参考链接地址:
cnvd是国家信息安全漏洞共享平台,英文是china national vulnerability database,隶属于国家计算机网络应急技术处理协调中心(cncert),cncert则是工信部的下属单位。
对于漏洞 cnvd 和 cnnvd 都直接提供了补丁下载地址链接。这里需要注意一点:
注意:这里只是提供的厂家补丁的地址,并不是补丁文件。比如本次自己是提示 mysql5.5.28版本 的漏洞,在去下载补丁的时候,厂家补丁已经关闭,不能再下载。
使用过程中 2 者都是很类似的, cnnvd 的界面更加友好。
方式一:
1、通过 cve 搜素
2、搜索结果展示
方式二:
1、通过 cve 搜素
2、搜索结果展示
文章由思创斯整理,转载请注明出处:https://ispacesoft.com/162952.html