2007新万博下载包闻与事件(存档)
2007年12月19日
CVE标识符包含在年度更新“SANS二十”列表的网络安全威胁
的2007年度更新到二十个最关键的网络安全漏洞san /联邦调查局共识列表的最关键的问题在网络安全领域,2007年11月28日被释放,现在包括275 CVE标识符。使用CVE标识符列表来唯一地标识它描述的漏洞。这将帮助系统管理员使用CVE-Compatible产品和服务帮助使他们的系统和网络更加安全。
年度更新包括六大类:(1)在Web浏览器客户端漏洞,办公软件,电子邮件客户端,媒体播放器;(2)服务器端Web应用程序中的漏洞,Windows服务,Unix和Mac OS服务、备份软件、杀毒软件、管理服务器、数据库软件;(3)安全政策和人员过多的用户权限和未经授权的设备,网络钓鱼/鱼叉式网络钓鱼,未加密的笔记本电脑和可移动媒体;(4)在即时消息应用程序滥用和对等项目;(5)网络设备——VoIP服务器和手机;(6)零天攻击。
无的一员吗CVE编辑委员会和它的教育和培训材料中列出CVE-Compatible产品和服务部分。
2007年12月5日,
CVE兼容性需求文档更新
“需求和建议CVE兼容性“文档已经更新添加信息聚合器作为一个新的类别的工具/服务,独立的咨询库和漏洞数据库从一个类别的工具/服务分为两个独立的类,和更新的候选人,version-related需求。评论或问题欢迎这些变化cve@mitre.org。
斜方举办“安全的”展位2008年信息保障车间,1月28日- 2月1日
斜接预定举办使安全可衡量的参展商展位的2008年信息保障车间1月28日- 2008年2月1日在费城市中心的万豪在费城,宾夕法尼亚州,美国。
会议将暴露CVE,CCE,CPE,芝加哥商品交易所,CAPEC,CWE,椭圆形,使安全可衡量的努力从政府和行业信息安全专业人士。参观CVE日历这和其他活动的信息。
2007年11月8日
CVE关于SCAP的文章中提到的的关系
CVE的一篇文章中提到的题为“SCAPβ将促进企业合规工作“在的关系2007年8月1日。这篇文章描述了美国国家标准与技术研究院安全内容自动化协议(SCAP)“…可以简化民间组织启用自动脆弱性管理。”
CVE当作者提到:“SCAP使用的数据提要NVD(国家漏洞数据库),它是定义和维护的国家标准与技术研究所的,称为NIST更好。SCAP是一个开放标准,license-free NVD是可用的。SCAP使用信息从六开放标准,包括CVE(常见的漏洞和风险)CCE(列举常见的配置),都由斜方,以及提供的数据XCCDF(可扩展的配置清单描述格式),一个标准XML表达式指定清单和报告结果的清单。”
CVE产品发布的文章中提到处理器杂志
CVE”中所提到的产品发布”文章处理器杂志2007年10月5日。CVE是文章的“安全”部分中提到的关于安全元素的C5合规平台3.3,“…是第一个产品与NIST SCAP内容帮助联邦政府机构满足OMB授权。它还帮助符合NIST ISAP / SCAP行动审计安全配置使用椭圆形,XCCDF, CPE, CVSS CCE, CVE。”
CVE新闻稿中提到安全元素
CVE提到在2007年9月18日新闻发布会上万博下载包安全元素,Inc。题为“安全元素宣布新版本的审计和遵从性平台。”在书中还提到了CVE的释放部分描述了如何安全元素的C5合规平台3.3版本添加了增强NIST SCAP FISMA报告:“联邦政府机构,C5是第一个直接与NIST SCAP企业解决方案内容,帮助他们满足OMB授权安全桌面配置以及将所有最新的标准定义的NIST ISAP / SCAP主动审计安全配置利用椭圆,XCCDF, CPE, CVSS, CCE CVE。”
安全元素,Inc。自动化的漏洞修复产品,C5企业脆弱性管理套件(维生素),在CVE上市网站“正式CVE-Compatible。"
GFI软件有限公司职位CVE兼容性调查问卷
GFI软件有限公司。取得了第二阶段的CVE兼容性过程通过提交一个CVE兼容性调查问卷为GFI LANguard网络安全扫描器。在第二阶段的兼容性处理组织的兼容性需求评估问卷发布在CVE完成网站。
2007年10月17日,
TecForte Sdn有限公司职位两个CVE兼容性调查问卷
TecForte Sdn有限公司取得了第二阶段的CVE兼容性过程通过提交一个CVE兼容性问卷记录雷达和一个CVE兼容性为LR协助调查问卷。在第二阶段的兼容性处理组织的完成了CVE兼容性需求评估问卷发布在网站虽然评估由斜方最后一步的产品或服务被注册为“正式CVE-Compatible。”
附加信息和审核所有产品和服务的完整列表参与程序的兼容性,参观CVE-Compatible产品和服务部分。
AdventNet公司声明和帖子CVE兼容性调查问卷
AdventNet公司。宣布,其脆弱性评估和修复产品,ManageEngine安全性管理器+ CVE-Compatible和取得的第二阶段吗CVE兼容性过程通过提交一个CVE兼容性ManageEngine安全管理器+问卷。在第二阶段的兼容性处理组织的完成了CVE兼容性需求评估问卷发布在网站虽然评估由斜方最后一步的产品或服务被注册为“正式CVE-Compatible。”
附加信息和审核所有产品和服务的完整列表参与程序的兼容性,参观CVE-Compatible产品和服务部分。
CVE中提到网络天地文章
CVE的一篇文章中提到的题为“面向服务的安全“在网络天地2007年9月25日。CVE时提到的论述安全内容自动化协议(SCAP)。作者声明:“最基本的前提是,我们曾经的唯一途径掌握安全管理的业务挑战是将尽可能多的过程自动化。SCAP从一系列标准化的信息源搜集信息,包括(提前警告:缩写汤):可扩展的配置清单描述格式(XCCDF),开放的漏洞评估语言(椭圆形),普通危险得分系统(CVSS)和常见的漏洞和风险敞口(CVE)数据库”。的article was written by Andreas M. Antonopoulos.
2007年10月3日
Assuria有限职位CVE兼容性调查问卷
Assuria有限取得了第二阶段的CVE兼容性过程通过提交一个CVE兼容性Assuria审计问卷(原空间站系统扫描)。在第二阶段的兼容性处理组织的完成了CVE兼容性需求评估问卷发布在网站虽然评估由斜方最后一步的产品或服务被注册为“正式CVE-Compatible。”
附加信息和审核所有产品和服务的完整列表参与程序的兼容性,参观CVE-Compatible产品和服务部分。
TecForte Sdn有限公司两个声明了CVE兼容性
TecForte Sdn有限公司马来西亚宣布,其数据/事件相关产品,日志雷达、及其漏洞数据库,LR协助CVE-Compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务。
CVE呈现简报战术信息保障200710月26日
CVE兼容性导致罗伯特·马丁将简报CVE /使安全可衡量的在战术信息保障20072007年10月26日在华盛顿的乔治城大学会议中心,华盛顿特区,美国。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCWE呈现一个简报或参与小组讨论CVE,CCE,芝加哥商品交易所,CWE,CAPEC,CPE,椭圆形和/或使安全可衡量的在你的事件。
CVE作为主题安全自动化会议20079月19日至20日的会议,
CVE当时作为一个主题美国国家标准与技术研究院(NIST)安全自动化会议&车间2007马里兰州盖瑟斯堡,2007年9月19日至20日,美国。NIST的安全内容自动化协议(SCAP)雇佣社区标准,使“自动漏洞管理、测量和政策合规评估(例如,FISMA合规)、“CVE是六开放标准列举SCAP用途,评估和测量软件问题和报告结果的影响。
在横切的CVE也是一个话题使安全可衡量的参展商展位展览期间事件的一部分。会议暴露了CVECCE,芝加哥商品交易所,CWE,CAPEC,CPE,椭圆形,使安全可衡量的努力从政府和行业信息安全专业人士。
参观CVE日历这和其他活动的信息。
CVE礼物简报,ESC集成周9月18日
CVE兼容性导致罗伯特·马丁提出关于CVE /简报使安全可衡量的在ESC集成周2007年9月18日在HANSCOM空军基地,美国马萨诸塞州。
参观CVE日历页面信息和其他即将来临的事件。
2007年9月12日
GFI软件有限公司声明了CVE兼容性
GFI软件有限公司宣布其GFI LANguard CVE-Compatible网络安全扫描器。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务。
CVE呈现简报ESC集成周9月18日
CVE兼容性导致罗伯特·马丁将简报CVE /使安全可衡量的在ESC集成周2007年9月18日在HANSCOM空军基地,美国马萨诸塞州。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCWE呈现一个简报或参与小组讨论CVE,CCE,CPE,芝加哥商品交易所,CAPEC,CWE,椭圆形和/或使安全可衡量的在你的事件。
CVE包括在安全可衡量的展台安全自动化会议20079月19日至20日的会议,
主教法冠将主办一个使安全可衡量的参展商展位的美国国家标准与技术研究院(NIST)安全自动化会议&车间200719日,2007年在美国马里兰州盖瑟斯堡。CVE也会参与讨论板在9月20日。
NIST的安全内容自动化协议(SCAP)雇佣社区标准,使“自动漏洞管理、测量和政策合规评估(例如,FISMA合规)、“CVE是六开放标准列举SCAP用途,评估和测量软件问题和报告结果的影响。其他五个标准是开放的脆弱性和评估语言(椭圆形),一个标准的XML安全测试程序和报告;列举常见的配置(CCE),标准标识符和一个字典系统安全配置问题;通用平台枚举(CPE),标准平台和产品命名标识符和一个字典;可扩展的配置清单描述格式(XCCDF),一个标准的指定清单和报告结果;和普通危险得分系统(CVSS),一个输送和评分标准缺陷的影响。
会议将暴露CVE,CCE,CPE,芝加哥商品交易所,CAPEC,CWE,椭圆形,使安全可衡量的努力从政府和行业信息安全专业人士。参观CVE日历这和其他活动的信息。
CVE包含在播客BankInfoSecurity.com
CVE兼容性导致罗伯特·马丁进行了10分钟的视频采访BankInfoSecurity.comCVE,CWE,使安全可衡量的在黑帽简报2007。它是九采访从可用的事件http://www.bankinfosecurity.com/podcasts.php?podcastID=53(需要注册),或者你可以播放或下载播客现在的CVE网站。
“不可原谅的弱点”简报现在CVE文档页面上可用
CVE技术主管Steve Christey提出了一个“Turbo-Talk”黑帽简报20072007年8月2日,题为“不可原谅的弱点。”的talk was well-received and had an audience of 80, including several key members of the Web application security community. The briefing is posted for the public on theCVE文档页面。
联系cve@mitre.orgCWE呈现一个简报或参与小组讨论CVE,CCE,CPE,芝加哥商品交易所,CAPEC,CWE,椭圆形和/或使安全可衡量的在你的事件。
展位的照片黑帽简报2007
斜方举办了CVE /使安全可衡量的参展商展位在黑帽简报20072007年8月1 - 2日,在拉斯维加斯的凯撒宫殿,内华达州,美国。见下面的照片:
参观CVE日历页面信息和其他即将来临的事件。
2007年8月29日
CVE启动新网站
CVE已经启动了一个新的CVE网站,为用户提供更多的CVE功能通过我们的合作伙伴关系美国国家漏洞数据库(NVD)和更好的说明了影响和CVE的使用在社区。更新的网站包括以下改进:
- 主页——除了新闻标题和关注列主页现在包万博下载包括一个高级列表的例子CVE的广泛应用;类似的标准的列表,其中一些是受CVE;和一个徽章表明CVE是安全可衡量的。
- CVE在使用页面——新的一页强调国际行业标准名称CVE漏洞标识符包含在众多CVE-Compatible产品和服务,在NVD CVE id和解决信息安全内容自动化协议(SCAP)映射CVE id,在政府和社区。
- CVE列表主页面——指针CVE的完整数据库功能通过与NVD斜方的合作伙伴关系,提供和获得的主副本的CVE列表维护社区通过横切公共CVE网站。
- CVE列表页提供了相同的观点、搜索和下载功能访问CVE列表前的主副本得到CVE页面。
- 数据更新和RSS提要页面指向外部资源,提供这些服务的CVE列表。
- 获得一个CVE标识符页面——主要是为脆弱性研究人员,这个页面回答最常见的问题:我如何能获得CVE标识符?
- 关于CVE标识符页面——一个新的中央位置访问过程和技术信息如何CVE项目管理包括的方法分配CVE id,候选人编号当局的作用,内容决定,数据源,参考地图,等等。
请发送任何评论或问题cve@mitre.org。
CVE的2007年版的“OWASP前十名的Web应用程序安全问题”
2007年版的“OWASP前十名的Web应用程序安全问题”,2007年7月17日,发布,完全是派生的脆弱性趋势中详细说明在CVE漏洞类型分布白皮书的CVE列表编辑/常见的弱点枚举(CWE)技术主管Steve Christey和CWE项目经理罗伯特·马丁。与以前版本的OWASP列表一样,2007年的更新也使用CVE标识符识别漏洞描述的例子。
OWASP的前10名的目标是“教育开发商、设计师、建筑师和组织的后果最常见的web应用程序安全漏洞。十大提供了基本的方法来防止这些漏洞——一个伟大的开始你的安全编码安全计划。”
Integrigy公司使宣言CVE兼容性
Integrigy公司宣布其脆弱性评估和修复工具,AppSentry CVE-Compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务。
CVE作为主题安全自动化会议&车间20079月19日至20日的会议,
CVE将作为一个主题美国国家标准与技术研究院(NIST)安全自动化会议&车间2007马里兰州盖瑟斯堡,2007年9月19日至20日,美国。除了造成整个车间,CVE也会参与讨论板9月20日。
NIST的安全内容自动化协议(SCAP)雇佣社区标准,使“自动漏洞管理、测量和政策合规评估(例如,FISMA合规)、“CVE是六开放标准列举SCAP用途,评估和测量软件问题和报告结果的影响。其他五个标准是开放的脆弱性和评估语言(椭圆形),一个标准的XML安全测试程序和报告;列举常见的配置(CCE),标准标识符和一个字典系统安全配置问题;通用平台枚举(CPE),标准平台和产品命名标识符和一个字典;可扩展的配置清单描述格式(XCCDF),一个标准的指定清单和报告结果;和普通危险得分系统(CVSS),一个输送和评分标准缺陷的影响。
参观CVE日历这和其他活动的信息。
CVE中提到信息世界文章
CVE提到在8月1日2007篇题为“国家安全局专家称赞安全情报共享“在信息世界。本文的主题是发表主旨演讲国家安全局脆弱性分析和运营集团首席托尼老练的人黑帽简报2007关于“美国政府举措,旨在促进整个联邦的安全情报的共享空间正在帮助建立必要的社区氛围和最佳实践来帮助那些机构和民营企业改善他们的网络和应用程序防御…”提到了CVE和常见的弱点枚举(CWE)。
CVE时提到的文章作者:“僧帽CVE的负责人罗伯特•马丁(普通危险[和]曝光)兼容性努力和贡献CWE的倡议,表示,动量是建立在他组织的指导方针和帮助许多政府和私人机构,以更好地理解和分享他们自己的实践。”,所有这些不同的部分合在一起,我们是标准化保障自己的基本概念以及评估方法和提高计算和网络系统,”马丁说。“我看到未来,tapestry的工具、程序、和过程是建立在时间的基础上,识别和解决常见问题,存在所有这些选区之一。”Martin said that Mitre's efforts to add new security policy frameworks will continue to improve as they mature and even more parties begin to contribute their intelligence to the initiatives."
这篇文章是转载《计算机世界》2007年8月2日。
CVE中提到SC杂志2007产品评论的漏洞评估
CVE产品审查小组中提到的测试SC杂志题为“漏洞评估2007”,包含CVE用作审查元素:“我们特别喜欢这些产品,利用常见的漏洞和风险敞口(CVE)明确定义漏洞。”CVEwas also included as a product feature in the individual review for Core Security Technologies' CORE Impact 6.0 automated penetration testing tool.
核心安全技术和6.0中列出其核心的影响CVE-Compatible产品和服务部分。
CVE包括在展台黑帽简报2007
斜方举办了一个使安全可衡量的参展商展位在黑帽简报20072007年8月1 - 2日,在拉斯维加斯的凯撒宫殿,内华达州,美国。会议暴露了CVECCE,芝加哥商品交易所,CWE,CPE,椭圆形,使安全可衡量的努力不同受众的信息安全与会者来自世界各地。
参观CVE日历页面信息和其他即将来临的事件。
常见的配置枚举(CCE)推出自己的网站
的CCE列表现在可以在一个专用的吗常见的配置枚举(CCE)网站。它将不再是可用的CVE网站。新网站包括CCE列表;一篇社论政策页面;一个关于部分详细描述整个CCE努力和过程;万博下载包新闻页面;日历页面;社区页面;CCE工作组页面。CVE漏洞提供标识符,CCE为系统配置问题提供了标识符。
2007年7月5日
CVE超过25000 + CVE标识符列表
CVE网站现在包含25064独特的信息安全问题与公开已知的名字。CVE,始于1999年只有321常见的名字CVE列表,被认为是国际标准对公共软件脆弱性的名字。信息安全专业人士和来自世界各地的产品供应商使用CVE标识符(CVE id)的标准方法识别漏洞,对于交联在产品、服务和其他存储库使用标识符。
CVE的广泛应用在企业安全了许多CVE-Compatible产品和服务使用在工业,政府,学术界脆弱性管理漏洞提醒、入侵检测、补丁管理。来自世界各地的主要操作系统供应商和其他组织也包括CVE IDs安全警报确保国际社会福利通过标识符尽快宣布一个问题。CVE id也被用来唯一地标识漏洞等观察名单无排名前20位最关键的网络安全漏洞和OWASP前十名的Web应用程序安全问题。
CVE也激发了新的努力。斜接的常见的弱点枚举(CWE)词典软件的弱点部分基于CVE列表类型,及其开放的脆弱性和评估语言(椭圆形)努力使用CVE id为其标准化的椭圆形脆弱性定义测试系统对cf的存在。此外,美国国家漏洞数据库(NVD)CVE修复信息同步和基于CVE最近扩大到包括列表安全内容自动化协议(SCAP)内容。SCAP雇佣社区标准,使“自动漏洞管理、测量和政策合规评估(例如,FISMA合规)、“CVE是六开放标准列举SCAP用途,评估和测量软件问题和报告结果的影响。
每一个25000 +的标识符CVE列表包括以下:CVE标识符(即数量。、“cve - 1999 - 0067”);表明“条目”或“候选”状态;安全漏洞的简要描述;和相关的漏洞报告和报告或OVAL-ID等引用。参观CVE列表页面下载各种格式的完整列表或查找一个标识符。修复和增强搜索的CVE可用的信息NVD。
Opsware公司三个声明了CVE兼容性
Opsware公司。宣布,其互联网社区门户和订阅服务,Opsware网络;其数据中心自动化产品,服务器自动化系统;和它的数据中心自动化产品、网络CVE-Compatible自动化系统。关于这些和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。
CVE包括在展台黑帽简报2007
主教法冠将主办一个使安全可衡量的参展商展位在黑帽简报20072007年8月1 - 2日,在拉斯维加斯的凯撒宫殿,内华达州,美国。会议将暴露CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形,使安全可衡量的努力不同受众的信息安全与会者来自世界各地。
参观CVE日历页面信息和其他即将来临的事件。
CVE参与小组讨论GFIRST会议
CVE兼容性导致罗伯特·马丁参加讨论小组题为“软件保证(SwA)面板:减少风险敞口面对应用层威胁”的第三届GFIRST会议2007年6月26日在奥兰多,佛罗里达州,美国。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形和/或使安全可衡量的在你的事件。
2007年6月22日
SecureInfo公司职位CVE兼容性调查问卷
SecureInfo公司取得了第二阶段的CVE兼容性过程通过提交一个CVE兼容性SecureInfo RMS的问卷。在第二阶段的兼容性处理组织的完成了CVE兼容性需求评估问卷发布在网站虽然评估由斜方最后一步的产品或服务被注册为“正式CVE-Compatible。”
附加信息和审核所有产品和服务的完整列表参与程序的兼容性,参观CVE-Compatible产品和服务部分。
更新“常见配置枚举(CCE)名单”张贴在CCE的CVE网站
4.0版本的CCE列表已经发布在“常见的配置枚举(CCE)”部分的CVE网站。更新草案着重于安全相关配置问题为Windows 2000, Windows XP操作系统,Windows Server 2003、Windows Vista, Internet Explorer 7和Office 2007。
CCE提供惟一标识符系统配置为了方便快速和准确的相关配置数据跨多个信息源和工具。作为一个例子,CCE标识符可以用来将检查配置评估工具与语句配置最佳实践文档等网络安全中心(CIS)基准文件。
参与信息安全社区是一个重要的元素在CCE的成功。我们鼓励您或您的组织通过加入的贡献CCE工作组或评论当前的草案CCE列表。请把名单上的任何反馈或其他评论cce@mitre.org。
CVE篇关于安全内容自动化协议中提到的政府计算机新闻万博下载包
CVE提到在2007年5月22日,文章题为“NIST公布FISMA安全控制的工具“在政府计算机新闻万博下载包。本文的主题是美国国家标准与技术研究院安全内容自动化协议(SCAP)根据这篇文章,这是“旨在帮助让一步从FISMA合规操作安全。”SCAP, an expansion of the U.S.国家漏洞数据库(NVD)这是建立在和同步CVE列表,是一个“自动检查表,使用公认的标准的集合命名软件的漏洞和配置问题在特定的产品。它可以帮助测试存在的漏洞,并将它们排序根据严重程度的影响。清单文件映射到NIST规格符合联邦信息安全管理法案,以便输出可用于文档FISMA合规”。
CVE提到当作者指出,“SCAP列举目前使用六开放标准,评估和测量软件问题和报告结果的影响,”,包括CVE作为第一标准:“常见的漏洞和风险敞口,CVE横切corp .);标准标识符和字典相关安全漏洞软件的缺陷。”的other five standards are: Open Vulnerability and Assessment Language (椭圆形),一个标准的XML安全测试程序和报告;列举常见的配置(CCE),标准标识符和一个字典系统安全配置问题;通用平台枚举(CPE),标准平台和产品命名标识符和一个字典;可扩展的配置清单描述格式(XCCDF),一个标准的指定清单和报告结果;和普通危险得分系统(CVSS),一个输送和评分标准缺陷的影响。
国家标准与技术研究院(NIST)的一员吗CVE编辑委员会,NVD CVE和椭圆都赞助的国家网络安全部门的美国国土安全部。
CVE参与小组讨论GFIRST会议
CVE兼容性导致罗伯特·马丁将参与小组讨论题为“软件保证(SwA)面板:减少风险敞口面对应用层威胁”的第三届GFIRST会议2007年6月26日在奥兰多,佛罗里达州,美国。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形和/或使安全可衡量的在你的事件。
CVE礼物简报,系统和软件技术会议
CVE兼容性导致罗伯特·马丁提出关于CVE和简报使安全可衡量的题为“创建一个安全的体系结构作为合规的基础”第19届系统和软件技术会议(SSTC) 20072007年6月20日在坦帕市,佛罗里达州,美国。
参观CVE日历页面信息和其他即将来临的事件。
CVE礼物简报,信息保障会议的太平洋
CVE兼容性导致罗伯特·马丁提出关于CVE和简报使安全可衡量的在信息保障会议的太平洋2007年6月13日在檀香山,夏威夷,美国。
参观CVE日历页面信息和其他即将来临的事件。
2007年6月4日
SecureInfo公司使宣言CVE兼容性
SecureInfo公司宣布其合规框架工具,SecureInfo RMS CVE-Compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。
猫鹊网络公司使宣言CVE兼容性
猫鹊网络公司。宣布其托管security-as-a-service管理解决方案服务提供商,猫鹊盾牌,CVE-Compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。
SecPoint使宣言CVE兼容性
SecPoint宣布其脆弱性评估和渗透测试设备,SecPoint侵入者,将CVE-Compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。
更新在CVE漏洞类型分布白皮书现在可用
2007年5月进行了一次更新在CVE漏洞类型分布贴在了吗CVE文档页面。最早出版于2006年10月,2007年5月22日,这个更新写的CVE列表编辑/CWE技术主管Steve Christey和CWE项目经理罗伯特·马丁现在包括2006年的数据,探讨了高层的漏洞类型已经公开报道在过去的五年,如缓冲区溢出,跨站点脚本(XSS), SQL注入和PHP文件包含。本文还确定和解释趋势如Web应用程序漏洞的迅速崛起,涵盖了脆弱性的分布类型操作系统供应商报告,并比较开放和封闭的问题报告报告来源。
CVE篇关于脆弱的速度所披露黑暗的阅读
CVE提到在2007年5月30日,文章题为“缺陷披露下降”黑暗的阅读。CVE时开始提到的这篇文章的作者写道:"研究人员说今年迄今报告的bug数量已经增长了约5%,兑40 - 60%的峰值出现在2006年。横切,正式跟踪公开报道错误下常见的漏洞和风险敞口(CVE)项目,已通过4月仅增加了5%,与2245年的漏洞报告,同时与去年增长60%,与2143年。”
本文还包括大量披露从道CVE列表编辑史蒂夫•Christey包括:“在过去的几年里,似乎有一个巨大的增加独立的研究人员使用基本技术找到简单的漏洞在软件这不是很受欢迎。也许我们已经达到了一个临界点,终于有足够的独立研究人员提供基本的评价大多数软件在互联网上可用的。”的author also notes that Christey says that there is "typically a sharp increase in bug disclosures when researchers first start working on a new class of products, which typically are loaded with easy-to-find bugs." Christey then continues: "We haven't seen a new product class dominate the landscape since file format vulnerabilities in image or document processing products. There hasn't been a real 'fad' since file-format vulnerabilities, but ActiveX controls show some potential. The numbers could jump again once researchers start hammering away at software that hasn't yet been widely deployed."
然后总结了文章作者Christey最后的一句名言:“我有点吃惊(脆弱性披露今年迄今为止)的速度,但最近的增长后,总有希望流血慢下来。如果有一件事我明白了在这个行业,期待意想不到的。数字兴衰。”
CVE礼物简报,AusCERT 2007
CVE兼容性铅/ CWE项目经理罗伯特·马丁提出关于CVE和简报CWE题为在CVE漏洞类型分布2007年5月22日AusCERT 2007在皇家松树度假村在黄金海岸,澳大利亚。表示是基于最近更新在CVE漏洞类型分布白皮书(2007年5月22日)现在包括2006年数据和分析。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形和/或使安全可衡量的在你的事件。
CVE礼物简报EMC的软件工程的劳动力
CVE兼容性铅/CWE项目经理罗伯特·马丁提出一个关于CVE和简报使安全可衡量的来EMC公司的软件工程的劳动力2007年6月1日数据,麻萨诸塞州,美国。
参观CVE日历页面信息和其他即将来临的事件。
CVE礼物波士顿联席会议简报软件过程改进网络/软件质量的新英格兰
CVE兼容性铅/CWE项目经理罗伯特·马丁提出一个关于CVE和简报使安全可衡量的联席会议波士顿软件过程改进网络(旋转)和软件质量的新英格兰(SQNE)会议题为“可利用的软件:新的安全问题后“世界”5月9日,2007年在美国马萨诸塞州伯灵顿。
参观CVE日历页面信息和其他即将来临的事件。
2007年5月10日
CVE专栏文章中提到的重要性在修复漏洞网络世界
CVE提到在2007年4月30日专栏文章题为“如何找到你的安全漏洞:cf检查你的网络吗“NetClarity, inc .)创始人兼首席技术官加里·s . Miliefsky网络世界。作者,指CVE标准和使用术语“cf”指漏洞,指出,仅去年一年就黑客造成超过十亿美元的损失,这是“至关重要的今天,防止漏洞跨企业和移除这些cf -这些安全漏洞在你的桌面,笔记本电脑和服务器。知道它们是什么,在你的网络,以及如何删除它们比嗅探包更重要和监听窃贼。根据us - cert, 95%的停机时间和它相关的合规问题的直接结果对CVE漏洞。”
作者建议使用SANS二十共识的最关键的软件漏洞列表由CVE ID来标识应立即修复,看看哪些漏洞美国国家标准与技术研究院的国家漏洞数据库(NVD)这是基于CVE id搜索漏洞并修复信息由供应商或操作系统和产品名称(s)。
本文作者总结说:“删除关键cf被认为是由于护理。频繁和持续计划安全审计cf和删除是唯一谨慎的事作为一种主动的信息安全经理。现在是时候找到并修复你的cf,这样你可以更有效率和减少痛苦停机时间和成功的黑客攻击。如果你把你所有的cf你会尽可能接近100%安全。”
CVE和NVD都是赞助的U。国土安全部。五NetClarity产品上市的CVE网站“正式CVE-Compatible。"
CA引用CVE安全警告标识符
2007年4月24日,CA颁发的安全顾问题为“[酋长35277]:CA CleverPath门户SQL注入漏洞”,引用cve - 2007 - 2230。许多其他CA报告参考CVE标识符。截至目前,73年来自世界各地的组织包括CVE的安全警告标识,确保社区福利通过CVE标识符尽快问题是宣布。
CVE礼物在米的简报政府遵从性和网络安全培训班4月10日
CVE兼容性导致罗伯特·马丁提出关于CVE和简报CWE在米的“政府遵从性和网络安全培训班”于2007年4月10日在华盛顿特区。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形和/或使安全可衡量的在你的事件。
2007年4月6日
两个LANDesk软件公司产品注册为正式“CVE-Compatible”
LANDesk软件公司。的LANDesk补丁管理器和LANDesk安全套件是最新的实现横切的正式的最后阶段CVE兼容性过程,现在正式注册为“CVE-compatible”。目前共有72种产品装备已经宣布正式兼容。
产品现在有资格使用CVE-Compatible产品/服务商标,和完成了“CVE兼容性需求评估”问卷为每个产品发布的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同的产品满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
两个AdventNet公司产品注册为正式“CVE-Compatible”
AdventNet公司。的SecureCentral PatchQuest和SecureCentral ScanFi是最新的实现横切的正式的最后阶段CVE兼容性过程,现在正式注册为“CVE-compatible”。目前共有72种产品装备已经宣布正式兼容。
产品现在有资格使用CVE-Compatible产品/服务商标,和完成了“CVE兼容性需求评估”问卷为每个产品发布的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同的产品满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
DEVOTEAM使宣言CVE兼容性
DEVOTEAM解决方案——远地点宣布其通知服务,安全观察服务(提供法语和英语),将CVE-Compatible。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。
在米CVE呈现简报政府遵从性和网络安全培训班4月10日
CVE兼容性导致罗伯特·马丁将CVE和简报CWE在米的“政府遵从性和网络安全培训班”于2007年4月10日在华盛顿特区。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形和/或其他脆弱性管理主题在你的事件。
CVE文章中提到关于漏洞评估工具的有效性政府计算机新闻万博下载包
CVE提到在2007年3月19日的文章题为“人人为我,但没有一个“在政府计算机新闻万博下载包。本文的重点是国家安全局(NSA)漏洞评估工具的有效性,研究发现,“组织试图自动化测试软件的过程漏洞别无选择,只能部署大量的工具。”的author quotes Kris Britton, technical director at NSA's Center for Assured Software, in describing the results: "No tool stands out as an uber-tool. Each [of the point solution tools] has its strengths and weaknesses."
CVE讨论中提到的协议软件的弱点是什么将如何帮助该行业在其“寻求找到一个全面的、自动化的系统漏洞分析。”的author states: "Mitre Corp. has made some progress on developing a common language for software vulnerabilities, with its initial list of common vulnerabilities and exposures, (CVE) and more recently, the common weakness enumeration (CWE)." He also notes that "CVE includes a list of 20,000 vulnerabilities; CWE includes 600 categories of vulnerabilities." CVE is also mentioned in a quote by Ryan Berg, chief scientist at Ounce Labs, who states: "CVE is a database of vulnerabilities definitions and descriptions [and] CWE is an effort at coming up with a common taxonomy for describing what a particular vulnerability is."CWE部分基于CVE,再次提到引用的迈克•卡斯软件保证项目负责人在国家标准与技术研究院,州CWE的目的是“使更有效的讨论,描述、选择和使用的软件安全工具。(仍然)几乎没有重叠在工具对他们声称CWE捕捉。这就给购买者带来的问题关于工具的传说中的有效性和实用性的工具。”的author also notes that "More than 50 vendors are participating in the [CWE] effort."
CVE几篇文章中提到的关于无的“国家安全编程技能评估考试”倡议
CVE几个新闻媒体文章中提到万博下载包SANS研究所的国家安全的编程技能评估考试(NSPSA)将允许政府和工业雇主衡量他们的程序员知道如何如何避免自己写安全错误代码。主动将驾驶今年8月在华盛顿特区,USA and then rolled out worldwide during the remainder of 2007.
新闻文章万博下载包——“无:新考试程序更安全的代码”TechTarget.com”,组织团队测试安全编码技巧”电脑”,开发人员的安全编码技能考验”寄存器”,联盟的目标是将软件缺陷消灭在萌芽状态”信息周,“安全解决办法:他们说他们想要一场革命”WashingtonPost.com——引用的一份书面声明中CVE列表编辑器和CWE技术主管Steve Christey关于考试程序的必要性:“回顾7000多个漏洞后仅在2006年,一件事情变得清楚:这些漏洞可能会很容易发现,使用技术,需要很少的专业知识。CVE工作,我经常与供应商互动惊讶的弱点在他们的产品。他们与经典的反应阶段的震惊、否认、愤怒、讨价还价,最后接受。”A second quote used in some of the articles mentions that most colleges and universities don't teach programmers how to write secure code: "There needs to be a revolution. Secure programming examinations will help everyone draw the line in the sand, to say 'No more,' and to set minimum expectations for the everyday developer."
无的一员吗CVE编辑委员会,其教育和培训材料中列出CVE-Compatible产品和服务部分,和CVE标识符用于其“SANS二十“最关键的网络安全漏洞列表来唯一地标识它描述的漏洞。
2007年3月29日
关键看帖子两CVE兼容性调查问卷
关键看取得了第二阶段的CVE兼容性过程通过提交一个CVE兼容性FusionVM托管服务的调查问卷通过兼容性声明和提交CVE FusionVM企业问卷调查系统的兼容性。在第二阶段的兼容性处理组织的完成了CVE兼容性需求评估问卷发布在网站虽然评估由斜方最后一步的产品或服务被注册为“正式CVE-Compatible。”
附加信息和审核所有产品和服务的完整列表参与程序的兼容性,参观CVE-Compatible产品和服务部分。
Security-Database.com帖子CVE兼容性调查问卷
Security-Database.com取得了第二阶段的CVE兼容性过程通过提交一个CVE兼容性问卷对安全数据库的网站。在第二阶段的兼容性处理组织的完成了CVE兼容性需求评估问卷发布在网站虽然评估由斜方最后一步的产品或服务被注册为“正式CVE-Compatible。”
附加信息和审核所有产品和服务的完整列表参与程序的兼容性,参观CVE-Compatible产品和服务部分。
联想安全公司。让两个声明CVE兼容性
联想安全公司。宣布其Leadsec入侵检测系统及其CVE-Compatible Leadsec入侵预防系统。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。
CVE主机布斯在信息安全世界20073月19日
CVE联合举办了一次使安全可衡量的参展商展位在信息安全世界2007年会议和博览会2007年3月19日,在罗森瓦溪旅游胜地奥兰多,佛罗里达州,美国。会议暴露斜接的CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形努力不同观众的与会者从银行、金融、房地产、保险、和医疗保健行业等。会议是针对信息安全政策和决策者从这些和其他行业,以及董事和经理的信息安全、cio、网络和系统安全管理员,审计师,系统规划者和分析师、系统管理员、软件和应用程序开发人员,工程师,系统集成商,战略规划者和其他信息安全专业人士。组织CVE-Compatible产品和服务还展出。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE, CCE,芝加哥商品交易所,CWE、CPE、椭圆形、和/或其他漏洞管理主题在你的事件。
CVE主机布斯在OMG软件保证车间3月5日至7日
CVE联合举办了一次使安全可衡量的参展商展位斜接的CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形努力在OMG软件保证车间2007年3月5日至7日,在凯悦公平湖泊在费尔法克斯,美国弗吉尼亚州。对象管理组织(OMG)是一个国际计算机行业会员开放,非营利性财团。OMG的任务部队“开发企业集成标准”为范围广泛的技术和产业及其建模标准”使强大的视觉设计,执行和维护软件和其他进程。”
参观CVE日历页面信息和其他即将来临的事件。
2007年3月2日
CVE中提到关于常见的弱点枚举的文章相声杂志
CVE的一篇文章中提到的关于斜接的常见的弱点枚举(CWE)计划名为“被明确的安全漏洞”在2007年3月出版的相声,国防工程杂志》上。本文描述了CWE的创建计划和来源包括CVE-used发展最初的概念;相关工作;CWE是如何一个社区的努力和当前成员的列表;CWE的草稿字典是如何被开发;CWE条目的一个例子;CWE兼容性和CWE有效性程序;和额外的影响与CWE和转型的机会。
CVE是提到的一个主要来源的创建CWE:“…的斜方参与dhs主办NIST SAMATE努力,横切调查利用常见的漏洞和风险的可能性(CVE)倡议的经验在分析20000多个真实的漏洞报告和讨论行业和学术界。的一部分创建CVE [cve.mitre.org/cve]列表用作漏洞的来源国家漏洞数据库(nvd.nist.gov)、斜方的CVE倡议在过去六年开发了一种初步分类和分类的漏洞,攻击,错误,和其他概念,可以用来帮助定义这个领域。”
CVE再次提到的结论部分的协同作用可能从CWE的发展:“映射cw cf……将有助于桥之间的差距的潜在来源的漏洞和示例的观测实例提供具体信息更好地理解连续波的连续波和提供一些验证自己。”的article was written by CVE Compatibility Lead and CWE Program Manager Robert A. Martin.
Security-Database.com使宣言CVE兼容性
Security-Database.com宣布,其安全CVE-compatible数据库网站。这和其他CVE-compatible产品的附加信息,访问CVE-Compatible产品和服务页面。
CVE举办展台OMG软件保证车间3月5日至7日
CVE计划举办一个使安全可衡量的参展商展位了CVE/CWE/椭圆形在OMG软件保证车间2007年3月5日至7日,在凯悦公平湖泊在费尔法克斯,美国弗吉尼亚州。对象管理组织(OMG)是一个国际计算机行业会员开放,非营利性财团。OMG的任务部队“开发企业集成标准”为范围广泛的技术和产业及其建模标准”使强大的视觉设计,执行和维护软件和其他进程。”
参观CVE日历页面信息和其他即将来临的事件。
CVE的文章中提到网络世界
CVE提到在2007年2月2篇题为“在X-Force“关于IBM互联网安全系统的X-Force研发团队网络世界。CVE引用作为一个资源X-Force用途脆弱性研究。文章提到CVE再次引用时CVE列表编辑史蒂夫•Christey状态:“与漏洞信息管理作为一门学科,你这山上的脆弱性数据,试图使它与日常安全消费。”IBM互联网安全系统的一员吗CVE编辑委员会和它的两个X-Force和其他产品注册为5正式CVE-Compatible。
CVE奖描述中提到“2007 SC杂志奖”
CVE的描述中提到的SC杂志“s”编辑的选择专业奖项“国安局信息安全保障理事会的脆弱性分析和操作(农村村民)组的工作在过去的一年里与美国空军和微软公司“检查和提供安全设置建议微软新的Vista操作系统”,促进标准的使用。CVE提到如下:“农村村民小组也塑造的发展安全漏洞命名和标识标准,如公开脆弱性和评估语言(椭圆形),常见的漏洞和风险敞口(CVE)和共同弱点枚举(CWE)标准。”“2007 SC杂志奖”于2007年2月6日,发表在旧金山希尔顿在旧金山,加州,美国。
CVE展位的照片2007年信息保障车间
CVE联合举办了一次使安全可衡量的参展商展位斜接的CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形在第11届的努力2007信息保障(IA)车间2007年2月12 - 15,奥兰多温德姆度假,在奥兰多,佛罗里达州,美国。见下面的照片:
2007年2月15日
CVE举办展台信息安全世界20073月19日
CVE计划举办一个使安全可衡量的参展商展位在信息安全世界2007年会议和博览会2007年3月19日,在罗森瓦溪旅游胜地奥兰多,佛罗里达州,美国。会议将揭露斜接的CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形努力不同观众的与会者从银行、金融、房地产、保险、和医疗保健行业等。会议是针对信息安全政策和决策者从这些和其他行业,以及董事和经理的信息安全、cio、网络和系统安全管理员,审计师,系统规划者和分析师、系统管理员、软件和应用程序开发人员,工程师,系统集成商,战略规划者和其他信息安全专业人士。组织CVE-Compatible产品和服务也表现出。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE, CCE,芝加哥商品交易所,CWE、CPE、椭圆形、和/或其他漏洞管理主题在你的事件。
CVE主机布斯在2007年信息保障车间2月12 - 15
斜方举办了一个使安全可衡量的在第11届参展商展位2007信息保障(IA)车间2007年2月12 - 15,奥兰多温德姆度假,在奥兰多,佛罗里达州,美国。研讨会的目的,这是由美国国防信息系统局(DISA)和国家安全局(NSA),是提供一个论坛的IA社区可以提供更新和工作问题有关IA话题与国防部(DOD) IA的目标策略。介绍了斜接的CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形努力的代表国防部和其他联邦政府雇员和他们的赞助的承包商。组织CVE-Compatible产品和服务也展出。
参观CVE日历页面信息和其他即将来临的事件。
CVE主机布斯在RSA会议20072月5 - 8
斜方举办了一个使安全可衡量的参展商展位在RSA会议20072007年2月5 - 8日在旧金山Moscone中心,加州,美国。RSA会议信息安全专业人员提供了一个论坛,有远见的“交流与合作动态、权威。”介绍了斜接的CVE,CCE,芝加哥商品交易所,CWE,CPE,椭圆形安全专家的努力从工业、政府和学术界来自世界各地。
见下面的照片:
参观CVE日历页面信息和其他即将来临的事件。
CVE文章中提到网络安全最佳实践网络世界
CVE提到在2007年1月17日,文章题为“7 2007年网络安全的最佳实践“在网络世界。CVE提到在第三部分题为“运行频繁的信息安全自我评价,”作者写道:“…常见的漏洞和风险敞口(CVE)[是]全球今年八岁,接受作为事实上的国际标准的漏洞跟踪所有计算机和网络设备。有多少机器在您的网络的一个排名前20的cf吗?你可以在这里找到列表,然后找到更多的细节在国家漏洞数据库由NIST。”
2007年1月24日
CVE中提到的关于网络漏洞的文章CSOonline.com
CVE提到在2007年1月1日篇题为“的寒蝉效应”CSOonline.com关于“网络使得创建软件漏洞容易,披露更加困难,发现它们可能是非法的。”的author refers to CVE as "the definitive dictionary of all confirmed software bugs."
CVE再次提到当作者引用CVE列表编辑史蒂夫Christey脆弱性披露:“信息披露的一个主要计算机安全的道德辩论。有很多观点,所以许多相互竞争的利益,它可以耗尽,试图得到一些运动向前发展。”的author then uses CVE Identifiers to illustrate responsible disclosure: "Three vulnerabilities that followed the responsible disclosure process recently are CVE-2006-3873, a buffer overflow in an Internet Explorer DLL file; CVE-2006-3961, a buffer overflow in an Active X control in a McAfee product; and CVE-2006-4565, a buffer overflow in the Firefox browser and Thunderbird e-mail program. It's not surprising that all three are buffer overflows. With shrink-wrapped software, buffer overflows have been for years the predominant vulnerability discovered and exploited."
作者还讨论了cf的类型的趋势:“网络漏洞的速度上升到主导讨论脆弱性是惊人的。在2004年至2006年之间,缓冲区溢位从脆弱性的头号报道类下降到4号。计数器,Web漏洞射过去的缓冲区溢位的前三位。第一的脆弱性,跨站点脚本(XSS)由2006年所有CVE-reported bug的五分之一。”As part of this discussion the author again quotes Steve Christey: "Every input and every button you can press is a potential place to attack. And because so much data is moving you can lose complete control. Many of these vulnerabilities work by mixing code where you expect to mix it. It creates flexibility but it also creates an opportunity for hacking."
史蒂夫Christey再次引用在文章的最后一部分对未来的Web漏洞:“就像五年前的软件,没有安全Web漏洞接触和反应小组。在某些方面,这是同样的事情一遍又一遍。如果动态Web遵循相同的模式,它将变得越来越糟,而不是越来越好,但是至少我们不是在广场。”的author goes on to state that "Christey says his hope rests in part on an efficacious public that demands better software and a more secure Internet, something he says hasn't materialized yet."
CVE篇关于漏洞中提到的趋势电脑
CVE提到在2007年1月17日,文章题为“漏洞记录在2006年飙升”电脑。这篇文章是关于一个cf的类型:趋势报告”在10月发布的一份报告常见的漏洞和风险敞口(CVE)项目发现缺陷的类别三大特定于Web项目和占45%的bug报告在今年前九个月。”
作者还包括一个引用CVE列表编辑史蒂夫Christey研究者寻找可能的安全漏洞:“很多人在做“grep和抱怨”的研究。他们正在做一个正则表达式搜索,寻找模式。如果他们得到一个匹配就会报告给公众,但有时结果是假阳性报告。”Christey further states: "You have an emerging levels of sophistication for vulnerability researchers. You have a lot of people who are able to find the low-hanging fruit. But for major software, it seems to be getting more difficult for top researchers to find these issues--they have to work harder, spend more time, spend more resources, (and) do more complex research."
电脑是一个成员CVE编辑委员会。
2007年1月5日
CVE标识符包含在年度更新“SANS二十”列表的网络安全威胁
的2006年度更新到二十个最关键的网络安全漏洞san /联邦调查局共识列表的最关键的问题在网络安全领域,于2006年11月15日发布,现在包括210 CVE标识符。使用CVE标识符列表条目和候选人的地位来唯一地标识它描述的漏洞。这将帮助系统管理员使用CVE-Compatible产品和服务帮助使他们的网络更加安全。
年度更新包括五大类:(1)操作系统——Internet Explorer, Windows库,Microsoft Office, Windows服务,Windows配置弱点,Mac OS X,和UNIX配置不足;(2)跨平台应用程序——Web应用程序、数据库软件、P2P文件共享应用程序,即时消息,媒体播放器,DNS服务器,备份软件,和安全,企业,和目录管理服务器;(3)网络设备- VoIP服务器和手机,和网络和其他设备常见的配置缺陷;(4)安全政策和人员- H1。过度的用户权限和未经授权的设备和用户(钓鱼/鱼叉式网络钓鱼);和(5)一个特别的部分——零天攻击和预防策略。
无的一员吗CVE编辑委员会和它的教育和培训材料中列出CVE-Compatible产品和服务部分。
CVE举办展台RSA会议20072月5 - 8
斜接预定举办CVE/CCE/芝加哥商品交易所/CWE/椭圆形参展商展位在RSA会议20072007年2月5 - 8日在旧金山Moscone中心,加州,美国。RSA会议提供了一个论坛为信息安全专业人士和有远见的“交流与合作动态、权威。”的event will introduce CVE, CCE, CME, CWE, and OVAL to security professionals from industry, government, and academia from around the world. Organizations withCVE-Compatible产品和服务也将展出。请停止1949年展位,或任何这些摊位,打个招呼。
参观CVE日历页面信息和其他即将来临的事件。联系cve@mitre.orgCVE呈现一个简报或参与小组讨论CVE, CCE,芝加哥商品交易所,CWE、椭圆和/或其他漏洞管理主题在你的事件。
CVE布斯在2007年信息保障车间2月12日至16日
斜接预定举办CVE/CCE/芝加哥商品交易所/CWE/椭圆形在第11届参展商展位2007信息保障(IA)车间2007年2月12日至16日,奥兰多温德姆度假,在奥兰多,佛罗里达州,美国。研讨会的目的,这是由美国国防信息系统局(DISA)和国家安全局(NSA),是提供一个论坛的IA社区可以提供更新和工作问题有关IA话题与国防部(DOD) IA的目标策略。CME事件将介绍CVE CCE, CWE,椭圆形的代表国防部和其他联邦政府雇员和他们的赞助的承包商。组织CVE-Compatible产品和服务也将展出。
参观CVE日历这和其他活动的信息。
CVE篇关于Web应用程序中包含漏洞SC杂志
CVE提到在2006年12月27日,文章题为“热不信:Web应用程序漏洞“在SC杂志。这篇文章是关于一个趋势报告类型的cf:“毫无疑问,web应用程序已经成为攻击者的目标选择。今年9月,横切Corp .)常见的漏洞和风险列表——公开披露的统计漏洞——排名第一槽跨站点脚本。事实上,跨站点脚本攻击超过缓冲区溢出漏洞。和报告的前五名的四个漏洞是在web应用程序中。”
文章还提到,在2006年11月SANS研究所2006年度更新前20名网络安全攻击目标210年,它使用CVE标识符来唯一地标识漏洞它描述了”,web应用程序排名第一的跨平台应用程序漏洞。”
重要的信息关于CVE网站可用性
由于商业灾难规划活动CVE网站可能暂时不可用在短时间内从第二天早上5:00东部时间星期六,1月13日,2007年到第二天早上5:00星期二,2007年1月16日。我们为不便道歉。请联系cve@mitre.org与任何评论或问题。
的美国国家漏洞数据库,它提供了增强的CVE标识符的信息,不会受到影响。
