CVE(Common Vulnerabilities and Exposures)的全称是公共漏洞和暴露,是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息,进而根据漏洞评分确定漏洞解决的优先级。
在CVE中,每个漏洞按CVE-1999-0067、CVE-2014-10001、CVE-2014-100001这样的形式编号。CVE编号是识别漏洞的唯一标识符。CVE编号由CVE编号机构(CVE Numbering Authority,CNA)分配,CVE编号机构主要由IT供应商、安全厂商和安全研究组织承担。
CVE如何形成的?
CVE漏洞信息由CVE组织机构的网站承载(http://cve.mitre.org/),CVE这个组织最初由麻省理工学院在1999年建立,是一个非营利性组织。网站上的CVE信息是公开的,可以在法律许可前提下免费使用。
每个漏洞都被分配一个称为CVE标识符的编号,编号格式为“CVE-年份-编号”,例如CVE-2019-0708代表远程桌面服务远程代码执行漏洞。
CVE的发布主体是CVE编号机构(CVE Numbering Authority,CNA),当前大约有100个CNA,由来自世界各地的IT供应商、安全公司和安全研究组织组成。任何机构或个人都可以向CNA提交漏洞报告,CNA对应的组织往往也会鼓励人们寻找漏洞,以增强产品的安全性。
不是所有漏洞都能被录入CVE,CNA主要根据如下规则判定是否为漏洞分配CVE编号:
-
漏洞可独立修复,与其他漏洞没有耦合。
-
软件或硬件供应商承认此漏洞的存在或有书面公告。
-
漏洞只影响一个代码库,如果漏洞影响多个产品,则为每个产品独立分配CVE编号。
经过上述判断,如果可以分配编号则编写描述信息并发布到CVE网站。每个CVE条目主要包含以下信息:
-
描述:漏洞的来源、攻击方式等简要描述。
-
参考:漏洞的相关参考信息链接汇总,例如供应商的漏洞公告、紧急响应建议等。
-
发布的CNA:发布此CVE的CNA。
-
发布日期:此CVE的发布日期。
综上,CVE机构通过与CNA合作,识别、定义、公开发布网络安全漏洞,形成漏洞信息行业标准。
CVE有什么作用?
如果没有CVE,每个IT供应商或安全组织都维护自己的漏洞数据库,数据无法共享,大家对漏洞的认识也不统一。CVE为漏洞赋予唯一编号并标准化漏洞描述,主要作用如下:
-
IT人员、安全研究人员基于相同的语言理解漏洞信息、确定修复漏洞的优先级并努力解决漏洞。
-
不同的系统之间可以基于CVE编号交换信息。
-
安全产品或安全工具开发者可以将CVE作为基线,评估产品的漏洞检测覆盖范围。
有的人可能会认为公开披露漏洞会给黑客带来可乘之机,黑客会利用这些漏洞发起攻击。其实利大于弊,首先CVE只公开已知的漏洞,不管是否有CVE,黑客都能获取漏洞信息;其次漏洞详细信息和修复建议可以暂时隐藏,只分配编号,直到IT供应商发布补丁等修复程序;最后漏洞信息在整个行业的共享可以加快修复建议的推出。
建议在安全产品或工具的安全事件报告等内容中包含CVE编号信息,这样使用该安全产品或工具的人员可以迅速获取网络中存在的漏洞信息,并根据漏洞修复建议解决问题。
当然CVE网站中的信息比较简要,CVE主要用于给漏洞指定身份。更多的修复建议、影响、评分等信息需要直接到IT供应商网站、其他漏洞数据库获取。但是不可否认,CVE编号是这些信息的串联者,基于CVE编号可以快速检索到漏洞信息。
CVE与CVSS的关系
通用漏洞评估系统(Common Vulnerability Scoring System,CVSS)是广泛应用的漏洞评分开放标准。CVSS的分值代表漏洞的严重程度,分值范围为0.0到10.0,数字越大漏洞的严重程度越高。CVSS评分往往是漏扫工具、安全分析工具不可或缺的信息。
CVE单纯是漏洞的字典库,CVE列表中不包含CVSS分值,需要使用其他漏洞管理系统查阅CVSS分值。IT人员结合CVE信息和CVSS确定漏洞解决优先级。
遇到CVE攻击应该怎么办
这一漏洞允许攻击者远程执行代码,获取服务器权限,会对企业网络和数据造成严重损失。因此,德迅云安全建议您采取以下有效措施来保护服务器免受攻击:
第一,我们需要进行深入的漏洞分析,了解漏洞的本质和可能产生的影响。通过分析漏洞的原理,我们可以找到漏洞的入口点,并尝试利用漏洞实现远程执行代码,以验证漏洞的有效性。在确认漏洞确实存在之后,我们需要尽快采取关闭T3和iiop协议端口等有效措施来防止攻击。
第二,我们需要寻找并安装相应的补丁程序。由于漏洞是由软件程序中的错误导致的,因此软件供应商通常会在发现漏洞后发布相应的补丁程序。我们需要及时查找并安装这些补丁程序,以修复漏洞并增强服务器的安全性。
第三,我们需要对服务器进行安全加固和配置调整。安全加固可以帮助我们识别并修复潜在的安全漏洞,包括限制服务器访问权限、修改默认用户名和密码、关闭不必要的服务和端口等。此外,我们还需要对服务器的配置进行调整,以提高服务器的安全性和稳定性。
第四,可以使用德迅云安全漏洞扫描。通过漏洞扫描器对Web应用资产进行安全扫描,发现Web应用中存在的安全漏洞,针对最紧急爆发的VCE漏洞,安全专家第一时间分析漏洞、更新规则、提供最快速专业的VCE漏洞扫描并可快速部署相关防护
最后,我们需要加强人员的安全意识和培训。由于服务器的安全性需要人员的共同维护,安全意识和培训包括教育用户采用强密码、不随意打开附件、不信任来路不明的链接等,以防范攻击者通过钓鱼等手段获取服务器权限。
结语
我们需要采取多重措施来保护服务器的安全性。包括深入分析漏洞、寻找并安装补丁程序、进行安全加固和配置调整,以及加强人员的安全意识和培训。只有通过综合手段加强服务器的安全性,才能有效防范黑客攻击,保护企业网络和数据的安全。