聊聊CVE漏洞编号和正式公开那些事

聊聊CVE漏洞编号和正式公开那些事

一 CVE漏洞编号是谁颁发的？

CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加，MITRE将漏洞编号的赋予工作转移到了其CNA（CVE Numbering Authorities）成员。CNA涵盖5类成员。目前共有69家成员单位。

1.MITRE：可为所有漏洞赋予CVE编号；

2.软件或设备厂商：如Apple、Check Point、ZTE为所报告的他们自身的漏洞分配CVE ID。该类成员目前占总数的80%以上。

3.研究机构：如Airbus，可以为第三方产品漏洞分配编号；

4.漏洞奖金项目：如HackerOne，为其覆盖的漏洞赋予CVE编号；

5.国家级或行业级CERT：如ICS-CERT、CERT/CC，与其漏洞协调角色相关的漏洞。

 

二 如何获得CVE编号

步骤1：预定CVE漏洞编号

（1）填申请表申请CVE编号

申请表中会要求填写漏洞类型、产品厂商、受影响产品或代码及版本、厂商是否已确认该漏洞、攻击类型、影响类型、受影响组件、攻击方法或利用方法、CVE描述建议等。

其中，CNA成员单位产品相关的漏洞，必须发给该CNA成员并向其申请CVE编号。

（2）MITRE或CNAs成员保留并向提交者分配CVE编号

提交者会收到如下邮件。

（3）MITRE在CVE网站创建跟这些CVE编号有关的无内容的“空白”页面；漏洞状态为RESERVED。 

也就是说，RESERVED（保留）状态只是说MITRE和CNAs成员收到了这个漏洞，漏洞质量或真实性是未经过验证的。

那么CVE漏洞是如何验证的，如何确保其是真实有效的漏洞，下面就是关键的一步。

 

步骤2：公开CVE漏洞进行验证

（4）公开漏洞信息

请求者需通过可靠渠道公开披露或与漏洞相关方分享这些CVE-ID编号漏洞信息。比如联系上面列举的的CNAs列表中的厂商，他们将在其首次公开宣布你的新漏洞时包含CVE-ID编号，多数厂商会在致谢词中提及漏洞致谢者的名称，如下所示。

（5）请求和将公开的CVE-ID编号通知MITRE。

MITRE去掉RESERVED标识，公开漏洞详细信息，并且reference中会包含厂商的漏洞公开页面。也就是说只有这个阶段的漏洞才是经过验证为真实的有效的漏洞。

MITRE的这一措施是为了对CVE的漏洞质量进行把控，比如有些提交者提交的漏洞被发现是虚假的或存在问题的

只有状态已经为公开的才是有效的漏洞，否则仅仅是预定了一个CVE编号，很大可能毫无价值和意义！