0


漏洞补丁:漏洞命名(CVE和CNNVD)及补丁查找

摘要:以前一个项目,最近收到一份脆弱性分析报告(漏洞报告),通过这份报告小技能+1,记录一下报告中几个重要编号说明和如何下载对应的补丁文件。


一、名称介绍

截图为报告的部分内容,里面包含了编号,描述,解决地址。这里对 CVE编号,CVSS分值,国家漏洞库编号(CNNVD)等几个主要名称含义进行记录。

1、CVE编号

CVE官网:
https://cve.mitre.org/

参考链接地址:
https://info.support.huawei.com/info-finder/encyclopedia/zh/CVE.html

CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。

在CVE中,每个漏洞按CVE-1999-0067、CVE-2014-10001、CVE-2014-100001这样的形式编号。CVE编号是识别漏洞的唯一标识符。CVE编号由CVE编号机构(CVE Numbering Authority,CNA)分配,CVE编号机构主要由IT供应商、安全厂商和安全研究组织承担。

2、CVSS分值

CVE官网:
https://www.cvedetails.com/

参考链接地址:
https://info.support.huawei.com/info-finder/encyclopedia/zh/CVE.html

CVSS的分值代表漏洞的严重程度,分值范围为0.0到10.0,数字越大漏洞的严重程度越高。CVSS评分往往是漏扫工具、安全分析工具不可或缺的信息。

3、CNNVD编号(国家漏洞库编号)

CNNVD官网:
http://www.cnnvd.org.cn/

参考链接地址:
https://blog.csdn.net/HideInTime/article/details/106623637

CNNVD是中国国家信息安全漏洞库,英文名称“China National Vulnerability Database of Information Security”,简称“CNNVD”,隶属于中国信息安全测评中心(一般简称国测,国测的主管单位是Security部),是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能,负责建设运维的国家级信息安全漏洞库,为我国信息安全保障提供基础服务。

4、CNVD编号

CNVD官网:
https://www.cnvd.org.cn/

参考链接地址:
https://blog.csdn.net/HideInTime/article/details/106623637

CNVD是国家信息安全漏洞共享平台,英文是China National Vulnerability Database,隶属于国家计算机网络应急技术处理协调中心(CNCERT),CNCERT则是工信部的下属单位。


二、补丁下载

对于漏洞 CNVD 和 CNNVD 都直接提供了补丁下载地址链接。这里需要注意一点:
注意:这里只是提供的厂家补丁的地址,并不是补丁文件。比如本次自己是提示 mysql5.5.28版本 的漏洞,在去下载补丁的时候,厂家补丁已经关闭,不能再下载。

使用过程中 2 者都是很类似的, CNNVD 的界面更加友好。

方式一:CNNVD

1、通过 CVE 搜素


2、搜索结果展示

方式二:
CNVD

1、通过 CVE 搜素


2、搜索结果展示


三、相关链接

什么是CVE?
CNVD 与 CNNVD 的区别
漏洞都是怎么编号的CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD

标签: 安全

本文转载自: https://blog.csdn.net/guyuelin123/article/details/127372620
版权归原作者 幽反丶叛冥 所有, 如有侵权,请联系我们删除。

“漏洞补丁:漏洞命名(CVE和CNNVD)及补丁查找”的评论:

还没有评论