再保险:CVE必备的报道

跟踪缺陷在下面就好了,也作为他们的使用分布相当广泛:

ISC绑定/了dhcpd

OpenSSL

Kerberos

潜在的其他核心技术,如zlib,低频率的漏洞,但广泛的影响。

同时,也许一些跟踪零day-ish事情不报告给供应商:

http://www.exploit-db.com或类似的。

我的2美分。

安迪

2011年10月11日,因为点,曼,戴夫写道:

伙计们,

下面,请找到一套比较稳定的脆弱性来源。

我试图捕捉最好的共识(不是纯选票但关闭)。

请检查列表和大声叫喊,很快如果你看到你不能忍受的东西。这是一个活生生的文档没有什么是一成不变的。仍然获得一定程度的协议范围是必要的第一步。

我特别关注几乎完全缺乏桌面或企业软件包被称为供应商。

但绝不多数列出一些。对我言外之意是,我们非常依赖non-vendor来源来阐明这些类型的软件。


戴夫
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
David Mann | |斜方公司主要的信息安全的科学家manbetx客户端首页
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
电子邮件:damann@mitre.org |细胞:781.424.6003
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

CVE漏洞信息来源——优先级


政府和相关的信息来源
必须有
us - cert警告(又名CERT-CC报告)
us - cert脆弱性笔记(CERT-CC)
us - cert公告(又名Cyber-Notes)
CMU / CERT-CC
国防部IAVAs
很高兴有
NISCC
AUS-CERT
能源部保监会(原名CIAC)


供应商发布信息
必须有
微软
RedHat
Apache
苹果OSX
甲骨文
Solaris
Suse
Mandriva
hp - ux
AIX
思科IOS
免费的BSD
开放的BSD
净BSD
Gentoo Linux ()
Ubuntu (Linux)
Adobe
Mozilla
谷歌浏览器
很高兴有
Debian
上海合作组织
思科


邮件列表和一家
必须有
Bugtraq
充分披露
安全重点
安全追踪
OSVDB
Oss-security
很高兴有
ISS X-Force
FRSIRT (VUPEN)
Secunia
SecuriTeam
Metasploit
Snort
Contagiodump.blogspot.com
忽略
Vuln-Watch
VulnDev
包风暴
无邮件列表(Qualys)]
Neohapsis(安全威胁的手表)

这是一个数字签名的消息部分