安全防护

什么是 CVE?

CVE 是通用漏洞披露(Common Vulnerabilities and Exposures)的英文缩写,列出了已公开披露的各种计算机安全缺陷。当人们谈及 CVE 时,通常用的都是分配给每个安全缺陷的 CVE ID 编号。

CVE 可以帮助 IT 专业人员协调自己的工作,轻松地确定漏洞的优先级并加以处理,从而提高计算机系统的安全性。

CVE 系统的工作原理

CVE 由 MITRE corporation 监管,由美国国土安全部下属的网络安全和基础设施安全局提供资金。

CVE 条目非常简短。条目中既没有技术数据,也不包含与风险、影响和修复有关的信息。这些详细信息会收录在其他数据库中,包括美国国家漏洞数据库CERT/CC 漏洞注释数据库以及由供应商和其他组织维护的各种列表。通过 CVE ID,用户就能跨上述不同系统来简便地识别同一个安全缺陷。

安全缺陷是怎么得到 CVE ID 的?

CVE ID 由 CVE 编号管理机构(CNA)分配。全球目前 约有 100 个 CNA,包括各大 IT 供应商以及安全公司和研究组织。MITRE 也可以直接发布 CVE。

MITRE 向每个 CNA 发放了一个 CVE 编号池,用于在发现新问题时将编号连接至新问题。每年,都有数以千计的 CVE ID发放出来。单个复杂产品(如操作系统)可能会累积数百个 CVE。

任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是机敏的用户,都有可能发现缺陷,并促使他人予以关注。很多供应商都会提供错误报告奖励,以鼓励相关人员负责任地披露各种安全缺陷。如果您发现了开源软件存在漏洞,您应该将其提交至相关社区

再通过种种渠道,该缺陷的相关信息最终会传至 CNA。CNA 进而会为这些信息分配 CVE ID,然后编写简短描述并附上参考资料。然后,CVE 条目就会被发布 CVE 网站上。

但上述步骤通常不会马上实施。供应商一般会对安全缺陷保密,直至相关修复已完成开发和测试。从而降低未修补漏洞的被攻击风险。

公布时,CVE 条目中会包含 CVE ID(格式为"cve-2019-1234567")、安全漏洞的简短描述和相关的参考资料(可能包括漏洞报告和公告的链接)。


什么样的缺陷才算 CVE?

只有满足一系列特定条件的缺陷才会分配 CVE ID。 这些缺陷必须满足以下条件:

1. 可以单独修复。

该缺陷可以独立于所有其他错误进行修复。

2. 已得到相关供应商的确认。

软件或硬件供应商已确认错误,并承认其会对安全性造成负面影响。

或者

已记录在案。错误报告者已共享了一份相关的漏洞报告,表明错误会造成负面影响,且有悖于受影响系统的安全策略。

3. 会影响某个代码库。

如果缺陷会对多个产品造成影响,则会获得单独的 CVE。对于共享的库、协议或标准,只有在使用共享代码会容易受到攻击时,该缺陷才会获得单个 CVE。否则,每个受影响的代码库或产品都会获得一个唯一的 CVE。


什么是通用漏洞评分系统?

漏洞的严重性可以通过多种方式来评估。其中的一种就是使用通用漏洞评分系统,这是一组用于为漏洞分配数值以评估其严重性的开放标准。分数范围为 0.0 到 10.0,数值越大代表漏洞越严重。许多安全供应商也都创建了自己的评分系统。

三大要点

了解自己的部署情况。存在 CVE 并不意味着您的特定环境和部署正面临风险。请务必查看各个 CVE,并验证 CVE 是否适用于(或部分适用于)您的特有环境中所用的操作系统、应用、模块和配置,确定 CVE 是否适用于您的环境。

开展漏洞管理。漏洞管理是一个可重复的过程,用于识别、分类、确定优先级、补救和解决漏洞。您要清楚自己的组织会如何遭遇风险,才能正确地为有待解决的所有重要漏洞确定优先级。

做好沟通准备。CVE 将会影响到您所在组织使用的系统,不仅漏洞本身,还因为修复漏洞可能会需要停机。您应及时与您的内部客户进行沟通和协调,并将漏洞的相关信息分享给您所在组织中的任意中央风险管理职能部门。

红帽如何处理 CVE

作为开源软件的主要贡献者,红帽一直致力于推动安全社区的发展。红帽是 CVE 编号管理机构(CNA)之一,使用 CVE ID 来跟踪安全漏洞。红帽安全部门维护了一个开放且经常更新的安全更新数据库,您可以按 CVE 编号查看这个数据库。

Trust Red Hat

Learn about Red Hat’s commitment to protecting customer data and privacy

探索红帽基础架构

Red Hat Enterprise Linux logo

红帽企业 Linux 是一个成熟、稳定的技术平台,它多面全能,能帮助为企业轻松部署新型应用、虚拟化环境和创建安全混合云,并有红帽一流的支持服务提供坚实保障。

以最简便的方式,管理红帽基础架构,实现高效及合规 IT 运维。建立可靠的内容存储库和流程,帮助您构建基于标准的安全环境。

随时了解红帽的安全防护情况