什么是通用漏洞披露(CVE)?

安全漏洞是应用程序堆栈中的缺陷，攻击者在网络攻击期间利用这些缺陷获得未经授权的访问。常见的攻击模式包括利用这些安全风险在目标系统上安装恶意软件、访问/修改敏感数据和运行恶意代码。在软件编码期间，通过静态应用安全测试可以发现由编码问题导致的缺陷，便于开发人员及时修改。因此，CVE通常为安全人员所熟知。

CVE含义

Common Vulnerabilities and Exposures 通用漏洞披露是一个目录，用于标准化识别已知网络威胁。CVE 是一个免费的参考列表，供希望加强其攻击面监控和威胁情报工作的安全团队使用。

数据库中包含的所有潜在威胁都分配有 CVE 标识符和标准化名称。CVE 详细信息还为全面安全策略和定期安全报告的设计提供了丰富的见解。该列表用作跨职能团队之间信息共享的标准格式，通常被认为是商业组织实施网络安全战略的起点。

常见漏洞和暴露示例

CVE 数据库中列出的一些最常被利用的软件安全漏洞包括：

贵宾犬

CVE-2014-3566 漏洞，也称为Padding Oracle On Deprecated Legacy Encryption (POODLE)，通常会影响所有支持 SSL 3.0 并依赖 CBC 模式密码的面向 Internet 的系统。在此类易受攻击的应用程序中，黑客可以通过窃听加密通信来发起中间人攻击。当密码算法与分组密码配对时，恶意网络参与者利用填充预言攻击来解密密码，获得对加密数据包中敏感信息的访问权限，例如 COOKIE、密码和其他身份验证机制。POODLE 漏洞的严重等级被认为很低， CVSS 得分为3.4。

CVE-2014-3566漏洞，也被称为填充Oracle废弃的遗留加密(POODLE)，通常影响所有支持SSL 3.0和依赖CBC模式密码的面向互联网的系统。在这种易受攻击的应用程序中，黑客可以通过窃听加密通信来发起中间人攻击。当加密算法与块密码配对时，恶意网络行动者利用填充oracle攻击来解密密码，获得对加密数据包(如COOKIE、密码和其他身份验证机制)中的敏感信息的访问权。POODLE漏洞的严重性评级较低，CVSS评分为3.4。

脏牛

Dirty CoW (Dirty copy-on-write) 或 CVE-2016-5195 是一个影响 2.x 到 4.8.2 的所有 Linux 内核版本的漏洞，允许软件写入只读文件。该漏洞会影响 Linux 内核函数中的竞争条件，以实现写时复制内存映射。此漏洞允许攻击者利用对写入时复制功能的错误处理来访问系统内存并提升权限。

由于Dirty CoW漏洞导致信息完全泄露、系统完整性完全受损、目标系统完全关闭，因此该漏洞的CVSS得分很高(7.8)。

Log4j CVE

Apache Log4j是一个基于java的实用工具，用于记录用于应用程序调试的信息。虽然Log4j库用于将日志数据写入数据库或日志文件，但安全分析师和漏洞研究人员已经在Log4j组件中发现了几个可能导致漏洞被利用的漏洞。其中包括:

CVE-2022-23307：这代表 Apache Log4j 1.2.x. 的 Apache Chainsaw 组件中的反序列化缺陷，允许黑客发送带有序列化数据的恶意请求。由于该缺陷，服务器在运行 Chainsaw 组件时将错误的请求反序列化，从而方便任意代码的执行。由于此类攻击的严重后果，安全漏洞CVSS评分为8.8的高分数。

CVE-2021-44228:通常被称为Log4Shell漏洞，该漏洞利用了Log4j与Java命名和目录接口(JNDI)和轻量级目录访问协议(LDAP)服务器的交互。该缺陷使黑客能够在支持消息查找替换的产品中控制日志消息参数，从而允许他们协调目标LDAP服务器上的远程代码执行或通过JNDI API泄漏敏感数据。CVE数据库为该缺陷CVSS评分10的严重等级。

常见漏洞和缺陷数据库

CVE数据库是由美国国土安全部网络安全和基础设施安全局(CISA)资助的项目。漏洞数据库列出了179,222个关键漏洞，这些漏洞简化了漏洞趋势分析，从而有助于主动识别和缓解威胁。

该数据库集中列出了公开的信息安全问题，以及漏洞的严重程度和影响。这些细节帮助组织完善威胁情报，同时帮助实现漏洞管理、漏洞奖励程序和安全分析的自动化。

谁发布 CVE 详细信息?

CVE的细节是由CVE编号机构(CNA)开发和发布的，该机构被指定了特定的职责范围来识别和发布网络安全漏洞。

CVE 和 CVSS 有什么区别?

CVE是一个由社区开发的数据库，列出了软件系统中已知的缺陷和暴露实例。

CVSS根据所有网络安全风险的严重程度，为每个CVE入口提供一个数值评分。

软件安全是网络安全的最后一道防线。