常看到安全圈子裡面,某大牛一下拿到了100多個cve漏洞,小編無比敬仰。誰知道,上周看到綠盟科技的漏洞專家給出了解釋和說明,才知道原來裡面還有很多門道,從中可以看到送出漏洞時遇到的常見問題。
<a href="http://toutiao.secjia.com/cve-howto-work" target="_blank">http://toutiao.secjia.com/cve-howto-work</a>
mitre:可為所有漏洞賦予cve編号;
軟體或裝置廠商:如apple、check point、zte為所報告的他們自身的漏洞配置設定cve id。該類成員目前占總數的80%以上。
研究機構:如airbus,可以為第三方産品漏洞配置設定編号;
漏洞獎金項目:如hackerone,為其覆寫的漏洞賦予cve編号;
國家級或行業級cert:如ics-cert、cert/cc,與其漏洞協調角色相關的漏洞。
以綠盟連續五年獲得的微軟mbb獎勵計劃為例,其要求原創漏洞必須滿足如下名額,包括:
漏洞利用必須可靠,且有合理的請求;送出的技術、方法必須新穎,适用于windows體系的利用遠端代碼執行漏洞;
必須适用于高風險的應用程式,如浏覽器或文檔閱讀器;必須是通用的,即适用于多個記憶體崩潰漏洞;
漏洞必須來源于微軟産品的最新版本等。該計劃按漏洞價值獎勵5000-6萬美金不等。
<a href="http://toutiao.secjia.com/microsoft-bypass-bounty-programs-honor-roll#">微軟mbb緩解繞過獎勵計劃張榜了 top5中有騰訊peter hlavaty及綠盟科技zhang yunhai</a>
cve在哪裡申請?如何送出cve漏洞? 看這裡,填寫cve編号申請表。
https://cveform.mitre.org/
申請表中會要求填寫漏洞類型、産品廠商、受影響産品或代碼及版本、廠商是否已确認該漏洞、攻擊類型、影響類型、受影響元件、攻擊方法或利用方法、cve描述建議等。其中,can成員機關産品相關的漏洞,必須發給該can成員并向其申請cve編号。例如如下,
metre或cnas成員保留并向送出者配置設定cve編号。例如如下
metre在cve網站建立跟這些cve編号有關的無内容的“空白”頁面;漏洞狀态為reserved。也就是說,reserved(保留)狀态隻是說metre和cnas成員收到了這個漏洞,漏洞品質或真實性是未經過驗證的。例如如下,
那麼cve漏洞是如何驗證的,如何確定其是真實有效的漏洞,下面就是關鍵的一步。
請求者需通過可靠管道公開披露,或與漏洞相關方分享這些cve-id編号漏洞資訊。比如聯系上面列舉的的cnas清單中的廠商,他們将在其首次公開宣布你的新漏洞時包含cve-id編号,多數廠商會在緻謝詞中提及漏洞緻謝者的名稱,如下所示。
請求和将公開的cve-id編号通知metre。 metre去掉reserved辨別,公開漏洞詳細資訊,并且reference中會包含廠商的漏洞公開頁面。也就是說,隻有這個階段的漏洞,才是經過驗證,才是真實有效的漏洞 。 例如如下,
metre的這一措施是為了對cve的漏洞品質進行把控,比如有些送出者送出的漏洞被發現是虛假的或存在問題的
用 cve id辨別特定漏洞或暴露, 組織可以快速準确地從各種 cve 相容的資訊源中擷取資訊。通過在不同安全工具和服務之間的進行比對, cve 可以幫助組織選擇最适合其需要的内容。
使用 cve 相容的産品和服務還有助于改進對安全警告的響應。如果警告是 cve 相容的, 則組織可以檢視其掃描系統或安全服務是否檢查到此威脅, 然後确定其入侵檢測系統是否具有适當的攻擊特征碼。對于那些為客戶建構或維護系統的組織來說, cve 的相容性将有助于直接識别這些系統中的商業軟體産品供應商的修補程式。這也要求供應商修複站點與 cve 相容。
從上面的流程可以看到, 隻有狀态已經為公開的才是有效的漏洞, cve編号隻是為了便于 “ 在不同安全工具和服務之間的進行比對, cve 可以幫助組織選擇最适合其需要的内容 ” 。舉個例子,如果看到某個大牛号稱發現了100多個cve漏洞,先不要急于崇拜,要看看有多少處于reserved狀态,又有多少處于disputed(有争議)狀态。
原文釋出時間:2017年9月11日
本文由:綠盟科技釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/cveid-status-value
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站