什麼是通用漏洞披露 (CVE)?

安全漏洞是應用程式堆疊中的缺陷，攻擊者在網路攻擊期間利用這些缺陷獲得未經授權的訪問。常見的攻擊模式包括利用這些安全風險在目標系統上安裝惡意軟體、訪問/修改敏感資料和執行惡意程式碼。在軟體編碼期間，透過靜態應用安全測試可以發現由編碼問題導致的缺陷，便於開發人員及時修改。因此，CVE通常為安全人員所熟知。

CVE含義

Common Vulnerabilities and Exposures 通用漏洞披露是一個目錄，用於標準化識別已知網路威脅。CVE 是一個免費的參考列表，供希望加強其攻擊面監控和威脅情報工作的安全團隊使用。

資料庫中包含的所有潛在威脅都分配有 CVE 識別符號和標準化名稱。CVE 詳細資訊還為全面安全策略和定期安全報告的設計提供了豐富的見解。該列表用作跨職能團隊之間資訊共享的標準格式，通常被認為是商業組織實施網路安全戰略的起點。

常見漏洞和暴露示例

CVE 資料庫中列出的一些最常被利用的軟體安全漏洞包括：

貴賓犬

CVE-2014-3566 漏洞，也稱為Padding Oracle On Deprecated Legacy Encryption (POODLE)，通常會影響所有支援 SSL 3.0 並依賴 CBC 模式密碼的面向 Internet 的系統。在此類易受攻擊的應用程式中，駭客可以透過竊聽加密通訊來發起中間人攻擊。當密碼演算法與分組密碼配對時，惡意網路參與者利用填充預言攻擊來解密密碼，獲得對加密資料包中敏感資訊的訪問許可權，例如 cookie、密碼和其他身份驗證機制。POODLE 漏洞的嚴重等級被認為很低， CVSS 得分為3.4。

CVE-2014-3566漏洞，也被稱為填充Oracle廢棄的遺留加密(POODLE)，通常影響所有支援SSL 3.0和依賴CBC模式密碼的面向網際網路的系統。在這種易受攻擊的應用程式中，駭客可以透過竊聽加密通訊來發起中間人攻擊。當加密演算法與塊密碼配對時，惡意網路行動者利用填充oracle攻擊來解密密碼，獲得對加密資料包(如cookie、密碼和其他身份驗證機制)中的敏感資訊的訪問權。POODLE漏洞的嚴重性評級較低，CVSS評分為3.4。

髒牛

Dirty CoW (Dirty copy-on-write) 或 CVE-2016-5195 是一個影響 2.x 到 4.8.2 的所有 Linux 核心版本的漏洞，允許軟體寫入只讀檔案。該漏洞會影響 Linux 核心函式中的競爭條件，以實現寫時複製記憶體對映。此漏洞允許攻擊者利用對寫入時複製功能的錯誤處理來訪問系統記憶體並提升許可權。

由於Dirty CoW漏洞導致資訊完全洩露、系統完整性完全受損、目標系統完全關閉，因此該漏洞的CVSS得分很高(7.8)。

Log4j CVE

Apache Log4j是一個基於java的實用工具，用於記錄用於應用程式除錯的資訊。雖然Log4j庫用於將日誌資料寫入資料庫或日誌檔案，但安全分析師和漏洞研究人員已經在Log4j元件中發現了幾個可能導致漏洞被利用的漏洞。其中包括:

CVE-2022-23307：這代表 Apache Log4j 1.2.x. 的 Apache Chainsaw 元件中的反序列化缺陷，允許駭客傳送帶有序列化資料的惡意請求。由於該缺陷，伺服器在執行 Chainsaw 元件時將錯誤的請求反序列化，從而方便任意程式碼的執行。由於此類攻擊的嚴重後果，安全漏洞CVSS評分為8.8的高分數。

CVE-2021-44228:通常被稱為Log4Shell漏洞，該漏洞利用了Log4j與Java命名和目錄介面(JNDI)和輕量級目錄訪問協議(LDAP)伺服器的互動。該缺陷使駭客能夠在支援訊息查詢替換的產品中控制日誌訊息引數，從而允許他們協調目標LDAP伺服器上的遠端程式碼執行或透過JNDI API洩漏敏感資料。CVE資料庫為該缺陷CVSS評分10的嚴重等級。

常見漏洞和缺陷資料庫

CVE資料庫是由美國國土安全部網路安全和基礎設施安全域性(CISA)資助的專案。漏洞資料庫列出了179,222個關鍵漏洞，這些漏洞簡化了漏洞趨勢分析，從而有助於主動識別和緩解威脅。

該資料庫集中列出了公開的資訊保安問題，以及漏洞的嚴重程度和影響。這些細節幫助組織完善威脅情報，同時幫助實現漏洞管理、漏洞獎勵程式和安全分析的自動化。

誰釋出 CVE 詳細資訊?

CVE的細節是由CVE編號機構(CNA)開發和釋出的，該機構被指定了特定的職責範圍來識別和釋出網路安全漏洞。

CVE 和 CVSS 有什麼區別?

CVE是一個由社群開發的資料庫，列出了軟體系統中已知的缺陷和暴露例項。

CVSS根據所有網路安全風險的嚴重程度，為每個CVE入口提供一個數值評分。