概述
CVE 是通用漏洞披露(Common Vulnerabilities and Exposures)的英文缩写,列出了已公开披露的各种计算机安全缺陷。人们提到 CVE,指的都是已分配 CVE ID 编号的安全缺陷。
供应商和研究人员发布的安全公告几乎总会提到至少一个 CVE ID。CVE 可以帮助 IT 专业人员协调自己的工作,轻松地确定漏洞的优先级并加以处理,从而提高计算机系统的安全性。
长话短说
文章太长不想读?这里有一段关于 CVE 的短视频。
CVE 系统的工作原理
CVE 计划由 MITRE Corporation 监管,由美国国土安全局下属的网络安全和基础设施安全局(CISA)提供资金。
CVE 条目非常简短。既没有技术数据,也不包含与风险、影响和修复有关的信息。这些详细信息会收录在其他数据库中,包括美国国家漏洞数据库(NVD)、CERT/CC 漏洞注释数据库以及由供应商和其他组织维护的各种列表。
在这些不同的系统中,CVE ID 为用户提供了一种可靠的方式来识别独特的漏洞并协调安全工具和解决方案的开发。MITRE Corporation 维护 CVE 列表,但成为 CVE 条目的安全漏洞通常由开源社区的组织和成员提交。
关于 CVE 识别号
CVE 识别号由 CVE 编号管理机构(CNA)分配。全球目前约有 100 个 CNA,包括各大 IT 供应商(如红帽、IBM、思科、Oracle 和微软)以及安全公司和研究组织。MITRE 也可以直接发布 CVE。
MITRE 向每个 CNA 发放了一个 CVE 编号池,用于在发现新问题时将编号连接至新问题。每年,都有数以千计的 CVE ID 发放出来。单个复杂产品(如操作系统)可能会累积数百个 CVE。
任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是机敏的用户,都有可能发现缺陷,并促使他人予以关注。很多供应商都会提供错误报告奖励,以鼓励相关人员负责任地披露各种安全问题。如果您发现了开源软件存在漏洞,您应该将其提交至相关社区。
再通过种种渠道,该缺陷的相关信息最终会传至 CNA。CNA 进而会为这些信息分配 CVE ID,然后编写简短描述并附上参考资料。然后,新的 CVE 就会被发布到 CVE 网站上。
通常会在公开安全公告之前分配 CVE ID。供应商一般会对安全缺陷保密,直至相关修复已完成开发和测试。这样可以降低未修补漏洞被攻击的风险。
公布时,CVE 条目中会包含 CVE ID(格式为“CVE-2019-1234567”)、安全漏洞的简短描述和相关的参考资料(可能包括漏洞报告和公告的链接)。
什么样的缺陷才算 CVE?
只有满足一系列特定条件的缺陷才会分配 CVE ID。这些缺陷必须满足以下条件:
1.可以单独修复。
该缺陷可以独立于所有其他错误进行修复。
2.已得到相关供应商的确认或已记录在案。
软件或硬件供应商已确认错误,并承认其会对安全性造成负面影响。或者,报告者本应共享一份相关漏洞报告,表明错误会造成负面影响,且有悖于受影响系统的安全策略。
3.会影响某个代码库。
如果缺陷会对多个产品造成影响,则会获得单独的 CVE。对于共享的库、协议或标准,只有在使用共享代码会容易受到攻击时,该缺陷才会获得单个 CVE。否则,每个受影响的代码库或产品都会获得一个唯一的 CVE。
什么是通用漏洞评分系统?
漏洞的严重性可以通过多种方式来评估。其中的一种就是使用通用漏洞评分系统(CVSS),这是一组用于为漏洞分配数值以评估其严重性的开放标准。NVD、CERT 等机构会使用 CVSS 评分来评估漏洞的影响。评分范围为 0.0 到 10.0,数值越大代表漏洞越严重。许多安全供应商也都创建了自己的评分系统。
三大核心要点
了解自己的部署情况。 存在 CVE 并不一定表示您的特定环境和部署正面临风险。请务必查看各个 CVE,并验证 CVE 是否适用于(或部分适用于)您的特有环境中所用的操作系统、应用、模块和配置,确定 CVE 是否适用于您的环境。
开展漏洞管理。漏洞管理是一个可重复的过程,用于识别、分类、确定优先级、补救和解决漏洞。您要清楚自己的组织会如何遭遇风险,才能正确地为有待解决的所有重要漏洞确定优先级。
做好沟通准备。 CVE 将会影响到您所在企业使用的系统,这既是因为漏洞本身,也在于解决这些漏洞有可能会需要停机。您应及时与您的内部客户进行沟通和协调,并将漏洞的相关信息分享给您所在组织中的任意中央风险管理职能部门。
红帽如何处理 CVE
作为开源软件的主要贡献者,红帽一直致力于推动安全社区的发展。红帽是 CVE 编号管理机构(CNA)之一,使用 CVE ID 来跟踪安全漏洞。红帽安全部门维护了一个开放且经常更新的安全更新数据库,您可以按 CVE 编号查看这个数据库。
什么是红帽安全数据 API?
红帽产品安全部在其安全数据页面提供对原始安全数据的访问权限,并以机器可读格式提供安全数据 API。
除了红帽生成的安全报告和指标外,客户也可使用这些原始数据针对自己的独特情况生成自用指标。
安全数据 API 提供的数据包括 OVAL(开放漏洞和评估语言)定义、通用漏洞报告框架(CVRF)文件和 CVE 数据。数据通过 XML 或 JSON 格式提供。