博客
什么是CVE?常见漏洞和风险解释
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

常见漏洞和披露(CVE)是公开披露的列表 信息安全 漏洞 and exposures.

MIVE公司于1999年推出了CVE,用于识别和分类软件和固件中的漏洞。 CVE为组织提供了免费的词典来改进他们的 网络安全。 MITER是一家非营利组织,在美国设有由联邦政府资助的研发中心。

什么是漏洞?

脆弱性 是一个弱点,可能是 被剥削 在一个 网络攻击 获得对计算机系统的未经授权的访问或对其执行未经授权的操作。漏洞可能允许攻击者运行代码,访问系统内存,安装其他漏洞 恶意软件类型 并窃取,破坏或修改 敏感数据

什么是曝光?

暴露是一种错误,使攻击者可以访问系统或网络。接触可能导致 数据泄露数据泄漏 and 个人身份信息(PII) being sold on the 暗网。实际上,一些 最大的数据泄露 是由于意外暴露而不是复杂的网络攻击造成的。

CVE的目标是什么?

CVE的目标是使跨组织共享有关已知漏洞的信息变得更加容易。 

CVE通过为给定漏洞或暴露创建标准化标识符来做到这一点。 CVE标识符或CVE名称使安全专业人员可以访问有关特定设备的信息 网络威胁 使用相同的通用名称跨多个信息源。

例如, UpGuard 是CVE兼容产品,其报告参考了CVE ID。这使您可以在任何与CVE兼容的漏洞数据库中找到修复信息。

CVE有什么好处?

CVE允许组织为评估其安全工具的覆盖范围设置基准。 CVE'的通用标识符使组织可以查看每种工具涵盖的内容以及它们对您的组织的适用性。 

CVE意味着可以咨询漏洞并检查威胁的安全公告可以使用CVE信息搜索已知的攻击特征,以将特定的漏洞利用程序识别为任何漏洞的一部分 数字取证 process. 

寻找具有CVE兼容性而不是专有的安全工具 脆弱性评估,'是减少组织规模的好方法's 网络安全风险.

谁管理CVE?

MITER维护CVE词典和CVE网站以及CVE兼容性计划。 CVE兼容性计划促进使用授权的CVE编号当局(CNA)发行的标准CVE标识符。

谁赞助CVE?

CVE由美国国土安全部(DHS)网络安全和基础设施安全局(CISA)和US-CERT赞助。

谁能使用CVE?

是的,CVE是免费使用的并且可以公开访问。 CVE旨在允许任何人将不同漏洞,安全工具,存储库和服务之间的数据关联起来。 

只要没有,任何人都可以搜索,下载,复制,重新分发,参考和分析CVE。't修改任何信息。

什么是CVE条目?

CVE条目描述了已知漏洞或漏洞。

每个CVE条目均包含带有状态指示符的标准标识符编号(即"CVE-1999-0067", "CVE-2014-12345", "CVE-2016-7654321"),简要说明和参考相关的漏洞报告和咨询。 

每个CVE ID的格式都为CVE-YYYY-NNNNN。 YYYY部分是CVE ID分配的年份或漏洞公开的年份。 

与漏洞数据库不同,CVE条目不包含风险,影响修复或其他技术信息。

CVE是漏洞数据库吗?

CVE不是'漏洞数据库。 CVE旨在允许漏洞数据库和其他工具链接在一起。它还有助于安全工具和服务之间的比较。 

看看 美国国家漏洞数据库(NVD) 它使用CVE列表标识符,并包括修订信息,得分和其他信息。

黑客可以使用CVE攻击我的组织吗?

简短的答案是肯定的,但是许多网络安全专业人员认为CVE的好处胜于风险:

  • CVE仅限于公开的漏洞和风险。
  • 它提高了网络安全社区内部漏洞和漏洞的共享性。
  • 组织需要通过修复所有潜在的漏洞和暴露来保护自己和他们的网络,而攻击者只需找到一个漏洞并将其利用即可获得未经授权的访问。这就是为什么已知漏洞列表如此宝贵且是漏洞的重要组成部分的原因 网络安全.
  • 网络安全社区越来越多地共享信息的协议正在减少 攻击载体 许多网络攻击。这反映在CVE理事会和CVE编号颁发机构(CNA)是网络安全的关键组织的广泛接受中。

举一个具体的例子,许多人认为 勒索软件 想哭如果该漏洞是公开共享的,则通过EternalBlue漏洞传播的恶意软件的影响较小。

什么是CVE董事会?

CVE委员会由网络安全组织组成,包括安全工具供应商,学术界,研究机构,政府部门和机构,安全专家和漏洞信息的最终用户。 

CVE董事会提供有关CVE计划的数据来源,产品覆盖范围,覆盖范围目标,运营结构和战略方向的关键输入。 

所有CVE委员会的讨论都可以通过他们的网站找到 电子邮件讨论档案 and 会议档案。的 CVE板字符 也可以公开访问。 

什么是CNA?

CVE编号颁发机构(CNA)是标识CVE ID编号并将其分发给研究人员和销售商的机构,以便将其包含在新漏洞的公开声明中。 CNA 包括软件供应商,开源项目,协调中心,漏洞赏金服务提供商和研究小组。

CNA是一种联合系统,可帮助您识别漏洞并为其分配ID,而无需直接涉及作为主要CNA的MITER。

谁是CNA?

目前在18个国家/地区拥有104个CNA,包括许多家喻户晓的名字,例如Microsoft,Adobe,Apple,Cisco,Google,Hewlett Packard Enterprise,Huawei,IBM,Intel,Mozilla,Oracle,Red Hat,Siemens,Symantec,VMWare,Atlassian,Autodesk, Cloudflare,Elastic,GitHub,Kubernetes,Netflix和Salesforce。你可以看到 CVE编号机构的完整列表在这里.

什么是根CNA?

MITER是主要的CNA,而根CNA则覆盖特定区域或特定位置。

在许多情况下,根CNA是像Apple这样的大型公司,该公司发布有关其自身产品的漏洞。在其他情况下,根CNA可能专注于开源漏洞。 

CVE列表的最新版本在哪里?

始终可以在以下位置找到最新版本的CVE列表 cve.mitre.org。虽然CVE列表是免费的,但是如果没有其他工具,很难知道哪些漏洞会影响您的组织。这就是为什么许多组织现在使用工具来监视CVE列表中影响它们的更改的原因。 

每天都会添加新的CVE标识符。寻找能够 自动监视你  and 您的供应商的漏洞。管理 第三方风险 and 第四方风险 是...的基本组成部分 信息风险管理 and your 信息安全政策。使 漏洞管理 你的一部分 供应商风险管理第三方风险管理框架 and 网络安全风险评估 processes.

漏洞或漏洞如何添加到CVE?

当研究人员发现软件或固件存在缺陷或设计监督时,就会添加CVE。供应商不必将其视为漏洞即可将其列为CVE。就是说,研究人员可能需要提供证据证明如何将其用作漏洞利用程序的一部分。

索赔越强,将其添加到CVE中的可能性就越大,并且在漏洞数据库中的“常见漏洞评分系统”得分越高的可能性就越大。  

由既定供应商或其他受信方报告的潜在CVE通常会快速添加到CVE列表中。

CVE是否列出所有已知的漏洞和风险?

CVE没有列出所有已知的漏洞和风险。 CVE的目标是全面而确实。鉴于漏洞和暴露的规模,'对于一个系统而言,包含所有内容可能是一项不可能完成的任务。 

什么是通用漏洞评分系统(CVSS)?

通用漏洞评分系统(CVSS)是一组开放标准,用于为漏洞分配编号以评估其严重性。 NVVSS,CERT,UpGuard和其他机构使用CVSS分数来评估漏洞的影响。

CVSS分数范围从0.0到10.0。数字越高,严重程度越高。

在哪里可以了解有关CVE的更多信息

有关您与CVE相关问题的详尽答案列表,建议阅读 CVE'常见问题

UpGuard如何帮助保护您的组织免受漏洞侵害

UpGuard helps companies like 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA保护其数据, 防止数据泄露.

我们的 数据泄露研究 已在 纽约时报彭博社华盛顿邮报福布斯 and Techcrunch。

UpGuard可以监视您的组织's 和 its vendor'有关以下问题的网站 域名系统SSL协议电子邮件欺骗抢注中间人攻击 and 漏洞.

UpGuard BreachSight can help combat 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户'通过网络安全等级和持续暴露检测获得信任。 

我们也可以为您提供帮助 持续监控,评估安全问卷并将其发送给您的供应商 to control 第三方风险 and 第四方风险 and improve your 安全态势, 以及 自动创建清单,执行策略并检测对IT基础架构的意外更改。帮助您扩大规模 供应商风险管理第三方风险管理 and 网络安全风险评估 processes.

网络安全变得越来越重要 than ever before.

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状