CVEannounce Twitter
CVE在LinkedIn
CVEProject GitHub上
2014新万博下载包闻与事件(存档)
CVE篇关于关键基础设施的攻击中提到Infosecurity杂志
CVE提到在2014年12月11日,文章题为“ICS-CERT: BlackEnergy对关键基础设施的攻击”Infosecurity-Magazine.com。本文的重点是一个“复杂的恶意软件运动,破坏许多工业控制系统(ICS)的环境中使用的一种变体BlackEnergy恶意软件似乎是针对网络人机接口(HMIs)。BlackEnergy活动已经持续至少从2011年开始,和美国ICS-CERT最近发布的信息和技术指标…”
CVE当作者提到:“典型的恶意软件部署包括模块搜索任何网络连接文件共享和可移动媒体的附加横向运动中影响环境。分析表明,演员们可能使用自动化工具来发现和妥协脆弱系统作为初始矢量。例如,组织的分析确定了系统运行通用电气的Cimplicity HMI和直接连接到互联网正在有针对性的利用漏洞的利用通用电气的Cimplicity HMI产品,至少自2012年1月以来一直是个众所周知的问题。通用电气打补丁的的弱点,cve - 2014 - 0751立即,所以用户应该更新他们的系统。”
访问cve - 2014 - 0751更多地了解这个问题。
CVE提到在2014年12月9日篇题为“微软周二在2014年最后的补丁修复24缺陷”eWeek.com。
CVE提到作者在文章的开头:“12月周二更新补丁,微软推出了其最后一组标记的定期安全更新为2014。总的来说,微软是修复24独特的常见的漏洞和风险敞口(cf)本月在七个安全警告。这七个安全报告,微软认为只有三个至关重要的。关键的报告是ms14之一——080年,在微软的补丁14 cf Web浏览器Internet Explorer (IE)。12月的CVE计数在IE中实际上是一个从周二11月17 cf打补丁的补丁更新。”
参观2014年12月微软安全公告总结关于这些问题的更多信息。
CVE文章中提到的关于品牌漏洞ZDNet“上口的名称和标志”
CVE提到在2014年11月25日篇题为“品牌缺陷:满足人的名字漏洞”ZDNet.com。本文的主题是“2014年接近尾声,虫子越来越披露,琅琅上口的名称和商标。Heartbleed品牌改变了我们讨论的方式安全,但让一个错误“酷”轻浮或重要吗?”
CVE首先是一段中提到这篇文章题为“攻击者可以挫败与营销吗?”,as follows: "Heartbleed — birth name CVE-2014-0160 — became a household term overnight, even though average households still don't actually understand what it is. The media mostly didn't understand what Heartbleed was either, but its logo was featured on every major news site in the world, and the news spread quickly. Which was good, because for the organizations who needed to remediate Heartbleed, it was critical to move fast."
CVE再次提到当作者声明:“下一个“大人物”Heartbleed弹震症-真实姓名CVE - 2014 - 6271 (CVE和CVE - 2014 - 7169 - 2014 - 7186, CVE - 2014 - 7187, CVE - 2014 - 6277,和CVE - 2014 - 6278)。弹震症没有公司的钱包或营销团队。因此,尽管很多人说弹震症比Heartbleed(额定高严重但低复杂性,方便攻击者),创建一个名人弹震症面临一个严峻的考验。”
访问cve - 2014 - 0160了解Heartbleed和cve - 2014 - 6271,cve - 2014 - 7169,cve - 2014 - 7186,cve - 2014 - 7187,cve - 2014 - 6277,cve - 2014 - 6278了解更多关于弹震症。
CVE提到在2014年11月21日,文章题为“黑客可以删除远程监视dvr -报告”寄存器。
四个不同的CVE id在本文引用如下:“安全研究员Rapid7发现150000 Hikvision dvr设备可以远程访问。Rapid7警告说,dvr暴露在互联网通常针对剥削。“这是尤其令人不安,因为类似的漏洞(cve - 2013 - 4977)据报道,去年,产品仍出现应用补丁的开箱即用的今天,”研究人员Metasploit渗透测试工具的结论背后的公司。一个博客Rapid7(提取),背后的公司Metasploit渗透测试工具,解释了漏洞,在更大的深度。“Hikvision ds - 7204和其他模型在同一系列产品,允许远程攻击者获得设备的完全控制。更具体地说,三个典型的缓冲区溢出漏洞被发现在Hikvision RTSP请求处理代码:cve - 2014 - 4878, cve - 2014 - 4879和cve - 2014 - 4880。这篇博客作为披露这些漏洞的技术细节。此外,远程代码执行通过Metasploit利用模块已经发表。”No authentication (login) is required to exploit this vulnerability. The Metasploit module demonstrates how unpatched security bugs would enable hackers to gain control of a vulnerable device while sitting behind their keyboard, potentially thousands of miles away."
访问cve - 2013 - 4977,cve - 2014 - 4878,cve - 2014 - 4879,cve - 2014 - 4880关于这些问题的更多信息。
CVE提到在2014年11月13日,文章题为“6采用开源的技巧”,在GCN.com。
CVE文章的第四部分中提到,“主人导航厂商漏洞数据库和工具以减少漏洞窗户,”作者的状态:“数据中心时容易受到安全漏洞,攻击的窗口需要马上修补。这样做的最好办法是选择正式的软件兼容CVE,标准标识符的集合公开已知的安全漏洞和风险敞口。当一个漏洞被公认,它是分配一个CVE编号。这给多个供应商的一个标识符来确定他们的漏洞以一种一致的和可衡量的。许多开放源码项目和社区不持续跟踪对cf,但一些公司商业化这些项目做的,所以我们要明智地选择。除了跟踪cf,管理员可以使用OpenSCAP做漏洞扫描。OpenSCAP可以使用开放的脆弱性和评估语言(椭圆形)内容为已知的漏洞扫描系统在哪里可以得到补救。关键是要确保你的选择供应商提供椭圆形的内容一致,所以,做出明智的选择。”
这篇文章也发布在2014年11月24日相同的标题,“6采用开源的技巧”,在OpenSource.com。
CVE ID分配2014年的总数已超过9000,表明的CVE ID号新的CVE ID编号格式5位数(如cve - 2014 - xxxxx)将middle-to-end前的2014年12月公布。
然而,如果没有发布在12月底之前,CVE ID与5位数肯定会发出不迟于星期二,2015年1月13日(阅读我们新闻稿)。新格式提供了任意数字最后根据需要(例如,CVE - 2014 xxxxxx最后6位数,CVE - 2014 - xxxxxxx最后7位数,等等),但是我们希望只达到CVE ID数字5位数在今年结束。
请报告任何问题,或预期的问题,你遇到CVE IDs发行的新格式cve-id-change@mitre.org。
WPScan宣布其CVE-Compatible WPScan漏洞数据库。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
CVE文章中提到的关于增加在2014年在ZDNet.com Web浏览器漏洞
CVE提到在2014年11月11日,文章题为“这些天为什么会有更多的浏览器漏洞上吗?”ZDNet.com。本文作者讨论了2014年报告的漏洞数量为Internet Explorer, Chrome和Safari。Firefox是不包括在内。
CVE后首次提及作者赞美微软的质量信息报告,然后讨论了谷歌:“我不能告诉你很多关于铬的漏洞。谷歌几乎从未发布小细节甚至有意义的CVE编号,除非有一个bug赏金的脆弱性。在这种情况下,他们吹嘘它的博客。10月7日的报告是一个很好的例子:它列出了12个赏金共有52633 .70美元支付。这很好,他们包括cf的漏洞,但这还只是12的159漏洞。博客列表一个CVE“[v]各种修复从内部审计,起毛和其他举措。”Does this last CVE refer to more than one vulnerability? That's not clear. If you click the "159 security fixes" link in the blog, you get to一个错误报告的数据库不是很丰富,不包括cf,至少据我所知没有。”
作者又提到了CVE关于苹果,当他状态:“苹果确实给个人cf通常为每个漏洞和学分,但是他们不提供严重程度的信息。”的author concludes the article by stating that the number of vulnerabilities being reported in browsers is up in 2014, but that "…it's actually a good thing. All those bugs were always there; it's just that now testers are getting better at finding them. It might mean browsers will be harder to attack over time, but let's not get our hopes too high yet."
CVE提到在2014年11月11日,文章题为“微软补丁周二11月33漏洞补丁更新”eWeek.com。CVE首先本文开始提到的,当作者声明:“周二(11月)补丁更新固定24常见的漏洞和风险敞口(cf),包括CVE - 2014 - 4114,用于的缺陷称为沙虫袭击北约和欧盟。10月21日,微软警告用户cve - 2014 - 6352,这是另一个微软的缺陷对象链接和嵌入(OLE)技术,在沙虫脆弱性的根源。微软提供了一个“救助”cve - 2014 - 6352,不过直到今天才提供一个完整的补丁。cve - 2014 - 6352漏洞的修补ms14 - 064咨询,实际上补丁一个额外的OLE脆弱性识别为cve - 2014 - 6332”。
CVE再次提到当作者声明:“在微软的有趣的缺陷修补本月CVE - 2014 - 6321,一个远程代码执行漏洞在微软安全通道(Schannel)安全技术。Schannel是一个安全包可以吗SSL/TLS对于Windows。本文引用Rapid7安全工程专业的高级经理,巴雷特罗斯关于这个CVE ID,谁说:“…现在CVE - 2014 - 6321的影响很低,但如果利用代码泄漏这被证明是一个严重的问题,然后将增加的影响。”
CVE提到第三次节快结束时的一篇文章关于IE修复,当作者声明:“是典型的在大多数微软周二更新补丁,Web浏览器Internet Explorer (IE)负责最大数量的cf。11月,ms14 - 065咨询即包括17个cf的修复。漏洞包括多个内存腐败和信息披露的缺陷。”
访问cve - 2014 - 4114,cve - 2014 - 6352,cve - 2014 - 6332,cve - 2014 - 6321想要了解更多关于这些问题。学习上面提到的ie漏洞,访问微软安全公告ms14 - 065或执行一个关键字搜索“Internet Explorer”CVE列表主副本页面。
CVE条漏洞未被发现在NewsFactor.com上了19年万博下载包
CVE提到在2014年11月11日,文章题为“微软补丁19岁的Windows缺陷”万博下载包NewsFactor.com。CVE的文章中提到当作者:“IBM X-Force发现了一个缺陷,已经修改了至少19年。蓝色巨人研究员罗伯特·弗里曼称之为“意义重大数据操纵脆弱性影响每个版本的Microsoft Windows从Windows 95起。好消息是微软发布了万博下载包一个补丁周二cve - 2014 - 6332。坏消息是黑客有能万博下载包力利用远程ie 3天以来。弗里曼描述了复杂的脆弱性”个像是独角兽罕见,虫子“发现即所依赖的代码,但它并不一定是。”
访问cve - 2014 - 6332更多地了解这个问题。
的的最后期限为遵守新的CVE ID编号格式正在迅速接近。CVE编号使用新格式将在2014年底之前,不迟于星期二,2015年1月13日。阅读我们的新闻稿。
CVE标识符“CVE - 2014 - 3704”在众多的安全公告和新闻媒体引用引用Drupal SQL注入漏洞万博下载包
”cve - 2014 - 3704”在许多主要报告指出,文章,和新闻媒体引用最近有关Drupal SQL注入漏洞,包括下面的例子:万博下载包
- http://www.csoonline.com/article/2841456/application - security/what——你需要- - - - -了解- drupal -脆弱性cve - 2014 - 3704. - html
- http://www.eweek.com/security/drupal-users-had-seven-hours-to-patch-or-be-hacked.html
- http://www.theregister.co.uk/2014/10/30/drupal_sites_considered_hosed_if_sqli_hole_unclosed/
- http://www.scmagazine.com/assume - drupal 7 -网站- -妥协——除非修补或更新-内- 732 hours/article/380303/
- http://www.net-security.org/secworld.php?id=17557
- http://www.theregister.co.uk/2014/11/03/drupal_drupalgeddon_analysis/
- http://www.computerworld.com/article/2834650/drupal-releases-patch-for-serious-sql-injection-flaw.html
- http://www.zdnet.com/sql-injection-flaw-opens-drupal-sites-to-attack-7000034719/
- http://lxer.com/module/万博下载包newswire/view/207399/
- http://www.theregister.co.uk/2014/10/16/drupal_megavuln_sql_injection/
- http://www.golem.de/万博下载包news/sicherheitsluecke drupal -团队warnt - erneut伏尔-伊- 1410 - 110209. - html
- http://www.scmagazine.com/drupal-core-contains-highly-critical-sql-injection-vulnerability/article/377718/
- http://www.scmagazine.com/assume - drupal 7 -网站- -妥协——除非修补或更新-内- 732 hours/article/380303
- http://www.nixp.ru/万博下载包news/12922.html
- https://www.kaldata.com/index.php?action=万博下载包news&tag=Drupal-7
- http://www.version2.dk/artikel/drupal -哈尔kritisk saarbarhed - i - sql - 69049
- http://www.golem.de/万博下载包news/security - schwere sicherheitsluecke - - drupal 7 - 1410 - 109890. - html
- http://www.developpez.com/actu/76355/CMS-Drupal-colmate-une-faille-affectant-les-versions-7-x-anterieures-a-7-32-consideree-comme-etant-hautement-critique/
- http://www.security-next.com/53106
- http://www.万博下载包newsroomamerica.com/story/451685.html
其他新闻文章万博下载包可能发现通过搜索“cve - 2014 - 3704”使用您的首选搜索引擎。此外,页面CVE标识符https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2014 - 3704包括一系列的报告作为参考。
CVE标识符“CVE - 2014 - 8346”在众多的安全公告和新闻媒体引用引用零日三星远程锁脆弱性万博下载包
”cve - 2014 - 8346“被引用在众多主要报告、文章和新闻媒体引用最近三星远程锁零日漏洞有关,包括下面的例子:万博下载包
- http://www.computerworld.com/article/2839240/zero-day-in-samsung-find-my-mobile-service-allows-attacker-to-remotely-lock-phone.html
- http://www.techtimes.com/articles/18911/20141029/samsung-find-my-mobile-service-exploit-allows-hackers-to-remotely-lock-your-smartphone.html
- http://www.infosecurity-magazine.com/万博下载包news/samsung-android-phones-remote-lock/
- http://www.malaysiandigest.com/technology/525207-samsung-find-my-mobile-flaw-allows-hacker-to-remotely-lock-your-device.htm
- http://thefootballexaminer.com/technology - 22/samsung -发现-我-移动- - - - - - -不-下降- - -第一次——不舒服- 5881. - html
- http://telecom.arka.am/ru/万博下载包news/technique/khakery_nauchilis_distantsionno_vzlamyvat_smartfony_samsung/
- http://www.heise.de/security/meldung/immer aerger -麻省理工学院-三星dienst找到我-移动- 2435372. - html
- http://www.cnet.de/88139133/samsungs-ortungsdienst-find-mobile-luecke-erlaubt-angreifern-geraetezugriff/
- http://www.zdnet.de/88209378/luecke-samsungs-find-mobile-dienst-erlaubt-angreifern-geraetezugriff/
- http://ht4u.net/万博下载包news/30183_schwachstelle_im_dienst_find_my_mobile_kann_samsung-geraete_sperren/
- http://securityaffairs.co/wordpress/29607/security/zero-day-samsung-findmymobile.html
- https://0xicf.wordpress.com/2014/10/25/zero——天——洞发现三星- findmymobile cve - 2014 8346/
- http://malwarelist.net/2014/10/29/zero-day-vulnerability-in-the-samsungs-find-my-mobile-service/
- http://www.infosecisland.com/blogview/24055-NIST-warns-on-Zero-Day-flaw-in-Samsung-FindMyMobile.html
- http://thehacker万博下载包news.com/2014/10/samsung-find-my-mobile-flaw-allows.html
其他新闻文章万博下载包可能发现通过搜索“cve - 2014 - 8346”使用您的首选搜索引擎。此外,页面CVE标识符https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2014 - 8346包括一系列的报告作为参考。
现在的CVE网站包含65764年独特的信息安全问题公开已知的名字。CVE,始于1999年只有321常见的名字CVE列表,被认为是国际标准对公共软件脆弱性的名字。信息安全专业人士和来自世界各地的产品供应商使用CVE标识符(CVE id)的标准方法识别漏洞;促进他们的工作流程;和间的交联产品、服务和其他存储库使用标识符。
每个65000 +标识符的CVE列表包括以下:CVE标识符数字,简单描述的安全漏洞,漏洞报告和报告等相关的引用。参观CVE列表页面下载各种格式的完整列表或查找一个标识符。
提醒:遵守最后期限新的CVE ID编号格式正在迅速接近。CVE编号使用新格式将在2014年底之前,不迟于星期二,2015年1月13日。阅读我们的新闻稿。
CVE始于15年前的这个月,321项CVE列表。此后,CVE真正成为公共的国际标准软件漏洞标识符有超过64000 +独特的条目CVE网站上市。信息安全专业人士和来自世界各地的产品供应商使用CVE标识符(CVE id)作为标准方法识别漏洞;促进他们的工作流程;和交联在产品、服务和其他存储库使用标识符。
最初作为一个成熟的信息来源,立即成功CVE id在社区要求主动迅速扩展到地址几乎每天都会出现新的安全问题。结果,CVE快速成长到7191 CVE id列表五年后,38727 CVE IDs 10年,15年现在包括64492年CVE id。现在分配不仅CVE id主教法冠但也CVE编号当局(CNAs),而这些医院是主要的操作系统供应商,安全研究人员和研究组织,cf分配给新发现的问题,包括首次公开披露的CVE id漏洞。
最新的里程碑
CVE继续发展。2013年12月,CVE列表开始出版CVE内容使用常见的漏洞报告框架(CVRF),一个基于xml的标准,使软件漏洞信息共享在machine-parsable漏洞信息提供者和使用者之间的格式。CVE了这重要的一步,因为有漏洞信息在一个标准化的格式加速信息交换和消化,同时也使自动化。
2014年1月,CVE id的语法自己改变了从原来的最后四个数字的格式(例如,cve - 2014 - 0160)来容纳五、六,或多个数字10000年末这CVE可以跟踪或多个漏洞对于一个给定的日历年度。前面的四位数限制只允许每年多达9999个漏洞,但是改变允许CVE跟上每年越来越多的漏洞报告。语法决心在一个新的CVE ID投票由CVE编辑委员会。
和当第一个里程碑正在迅速接近CVE ID与5位数将发布。CVE编号使用新语法将在2014年底之前,不迟于星期二,2015年1月13日。组织使用CVE id,没有的话需要采取行动现在,以确保他们的产品、工具、网站、和流程继续正常工作曾经发布的CVE ID与5位数字。阅读我们的新闻稿。
CVE对信息安全格局的影响
CVE的广泛影响企业安全了许多CVE-Compatible产品和服务使用在工业,政府,学术界脆弱性管理漏洞提醒、入侵检测、补丁管理。信息安全社区支持的重要性“CVE-Compatible”产品从CVE始于1999年。尽快有2000年12月29日组织参与声明为43个产品的兼容性。今天,有153年组织和300年产品和服务在CVE上市地点。其中,143年产品和服务的77年组织已经正式完成CVE兼容性过程和被认为是“正式CVE-Compatible。”
CVE id已经包含在安全警告98年组织包括主要的操作系统供应商和其他人,确保社区福利通过标识符尽快宣布一个软件问题。CVE id也被用来唯一地标识漏洞等观察名单OWASP前十名的Web应用程序安全问题在报告中,文本和图表赛门铁克公司“s”2014互联网安全威胁报告,卷19”,是额定的严重性普通危险得分系统(CVSS)。CVE id也经常引用在贸易出版物和一般新闻媒体报道关于软件bug。万博下载包cve - 2014 - 6271,cve - 2014 - 7169,cve - 2014 - 7186,cve - 2014 - 7187,cve - 2014 - 6277,cve - 2014 - 6278为“Bash弹震症”,cve - 2014 - 0160为“Heartbleed“就是最近的例子。
CVE也激发了全新的工作。的美国国家漏洞数据库(NVD)CVE的修复操作的信息国家标准与技术研究院(NIST)是基于同步,CVE列表。此外,开放的脆弱性和评估语言(椭圆形®)努力使用CVE id为其标准化的椭圆形脆弱性定义测试系统对cf的存在,和常见的弱点枚举(CWE™)词典软件的弱点是部分基于CVE列表类型。其他努力受到CVE的成功的例子包括CVRF,CVSS,常见的配置枚举(CCE),通用平台枚举(CPE),国家清单项目存储库,常见的攻击模式枚举和分类(CAPEC™)。
CVE和其他标准的成功启发也最终使NIST的创建的安全内容自动化协议(SCAP)。SCAP采用现有的社区标准,包括CVE,启用“自动漏洞管理、测量和政策合规评估(例如,FISMA合规)”。此外,U.S.联邦核心配置桌面(FDCC)需要验证符合FDCC要求使用SCAP-validated扫描工具。CVE也一直是美国国防部的合同要求。
采用CVE真正国际化。在2011年,国际电信联盟(ITU-T)网络安全报告员集团内的电信/信息系统标准的身体以条约为基础而结成的150岁高龄的政府间组织,采用CVE作为它的一部分“全球网络安全信息交换框架(X.CYBIEF)。”ITU-T created a "建议ITU-T X.1520常见的漏洞和风险敞口(CVE)基于当前的“标准CVE兼容性要求文档,文档和任何未来变化将反映在X.CVE后续更新。
社区参与
CVE是国际信息安全社区的努力。这是你过去的和持续的参与,支持,支持,CVE漏洞的社区标准标识符。我们都感谢你以任何方式CVE id用于你的产品或研究,促进了CVE的使用,分配CVE CNA id,和/或采用CVE-compatible产品或服务为您的企业。
我们还要感谢过去和现在的CVE编辑委员会成员贡献,我们特别感谢我们的赞助商在14年,特别是我们现在的赞助商us - cert在办公室的网络和通讯在美国国土安全部,因为他们过去和当前的资助和支持。
我们的周年庆典
请加入我们作为我们的15周年庆典在未来一年的继续CVE网站在我们的CVE-Announce电子万博下载包通讯。
像往常一样,我们欢迎任何意见或反馈CVEcve@mitre.org。
CVE标识符“CVE - 2014 - 6271”在众多的安全公告和新闻媒体引用引用“Bash弹震症”万博下载包
”cve - 2014 - 6271”在许多主要报告称,帖子,最近有关“Bash弹震症,”包括下面的例子:
(请注意,与“Heartbleed”,指cve - 2014 - 0160,实际上指的是“Bash弹震症”cve - 2014 - 6271,cve - 2014 - 7169,cve - 2014 - 7186,cve - 2014 - 7187,cve - 2014 - 6277,cve - 2014 - 6278。)
- http://www.percona.com/blog/2014/09/26/bash - bug——给——你弹震症cve - 2014 - 6271 - update/
- http://www.pcworld.com/article/2688932/improved-patch-tackles-new-shellshock-attack-vectors.html
- http://www.csoonline.com/article/2688716/vulnerabilities/attacks-against-shellshock-continue-as-updated-patches-hit-the-web.html
- http://www.zdnet.com/shellshock-makes-heartbleed-look-insignificant-7000034143/
- http://www.cnet.com/万博下载包news/apples-shellshock-patch-incomplete-say-experts/
- http://www.informationweek.com/government/cybersecurity/shellshock-bug-6-key-facts--/d/d-id/1316131
- http://www.theregister.co.uk/2014/09/28/bash_shellshock_bug_patches_released_by_red_hat/
- http://www.capitalotc.com/new-shellshock-patches-tackles-most-vulnerabilities-of-the-computer/23214/
- http://blog.check-and-secure.com/290914-shellshock-rocks-linux-users/
- http://www.zdnet.com/shellshock-better-bash-patches-now-available-7000034115/
- http://www.theregister.co.uk/2014/09/25/shellshock_bash_worm_type_fears/
- http://www.zdnet.com/first-attacks-using-shellshock-bash-bug-discovered-7000034044/
- http://www.eweek.com/security/shellshock-vulnerability-finally-patched-as-exploits-emerge.html
- http://www.techspot.com/万博下载包news/58240-apple-releases-patch-to-fix-shellshock-bug-in-os-x.html
- http://www.tripwire.com/state - - security/top安全stories/major -远程-可利用的漏洞——发现——bash -影响- linux - cve - 2014 6271/
- http://www.itworld.com/security/438790/improved-patch-tackles-new-shellshock-attack-vectors
- http://www.darkreading.com/vulnerabilities---threats/new-bash-bugs-surface/d/d-id/1316161
- http://www.evdoinfo.com/content/view/4896/64/
- http://thewestsidestory.net/2014/09/28/17788/bash-shellshock-bugs-new-patch-fixes-everything/
- http://www.theregister.co.uk/2014/09/30/third_patch_brings_more_admin_shellshock_for_the_battered_and_bashed/
- http://www.darkreading.com/perimeter/tripwire-releases-comprehensive-coverage-for-shellshock-bash-bug-/d/d-id/1316166
- http://tidbits.com/article/15116
- http://www.eweek.com/blogs/security-watch/apple-patches-shellshock-as-attacks-continue.html
- http://www.net-security.org/secworld.php?id=17430
- http://www.it万博下载包news.com.au/News/396298 apple-patches-os-x-mavericks-against-shellshock-flaw.aspx ? utm_source = feed&utm_medium = rss&utm_campaign = editors_picks
- http://www.theregister.co.uk/2014/09/29/shellshock_patching_bash_cloudpassage/
- http://www.capitalwired.com/new-shellshock-patches-released-after-bash-bug-spoiled-thousands-of-sites/23091/
- http://www.infosecurity-magazine.com/万博下载包news-features/information-security-industry/
- http://www.bankinfosecurity.com/shellshock - ddos攻击-峰值- a - 7365
其他新闻文章万博下载包可能发现通过搜索“cve - 2014 - 6271”使用您的首选搜索引擎。此外,页面CVE标识符https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2014 - 6271包括一系列的报告作为参考。
新的网络技术有限公司。宣布,其基于代理和无代理文件完整性监测系统连续脆弱性评估和违反检测、例数十分变化追踪企业,是CVE-Compatible。
这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
许多新闻媒体文章发万博下载包布关于即将到来的CVE ID语法合规的最后期限
CVE是会话的主要话题,一些新闻媒体文章造成我们的新闻发布题为“万博下载包主要软件厂商和网络安全组织的早期采用者之间横切的新漏洞命名格式“2014年9月16日,发布,包括以下:
- “互联网的安全缺陷跟踪面临“千年虫”时刻”http://www.cnet.com/万博下载包news/internets-security-bug-tracker-faces-its-y2k-moment/
- “新CVE命名约定可以打破脆弱性管理”-http://www.darkreading.com/vulnerabilities---threats/new-cve-naming-convention-could-break-vulnerability-management-/d/d-id/1315788
- “CVE标识符为几位数”http://threatpost.com/cve-identifiers-make-room-for-a-few-more-digits/108390
- “横切警告说,问题与软件缺陷ID系统如果计数前10 k”-http://www.eweek.com/security/mitre-warns-of-issues-with-software-flaw-id-system-if-count-top-10k.html
- “CVE ID编号格式变化的脆弱性可能挑战供应商不采取“-http://www.securityweek.com/cve-id-vulnerability-numbering-format-change-could-challenge-vendors-who-dont-adopt
- “CVE-nummer aangepast尔toenemend aantal lekken”- - - - - -https://www.security.nl/posting/402745/CVE-nummer + aangepast +尔+ toenemend + aantal + lekken ? = rss频道
- “每2015河畔aangepast CVE-systeem不大groei补丁”http://www.automatiseringgids.nl/nieuws/2014/39/cve systeem河畔- / - 2015 aangepast不大- groei补丁
- “领先的软件供应商和网络安全组织的早期采用者横切的新漏洞命名格式”-http://it.tmcnet.com/万博下载包news/2014/09/22/8028722.htm
- “脆弱性増加によるCVE番号の桁数増加に注意を”:(注意数字的位数增加CVE漏洞数量的增加)http://www.security-next.com/052257
- NSFOCUSCVE兼容性项目的参与者,发布了自己的新闻发布会上宣称他们符合新的CVE ID的语法:万博下载包http://www.c114.net/security/4355/a859199.html
- JP-CERTCVE编号权威(CNA)的参与者CVE兼容性计划,发布了自己的新闻发布会上宣称他们符合新的CVE ID的语法:万博下载包http://www.jpcert.or.jp/pr/2014/pr140006.html
CVE标识符“CVE - 2014 - 6041”中引用大量的安全公告和新闻媒体引用关于Android隐私漏洞万博下载包
”cve - 2014 - 6041“被引用在众多主要报告、文章和相关最新的Android浏览器隐私漏洞,包括下面的例子:
- http://www.darkreading.com/browser-vulnerability-privacy-disaster-for-3-of-4-android-users-/d/d-id/1315792
- http://www.securityweek.com/dangerous-same-origin-policy-bypass-flaw-found-android-browser
- http://www.scmagazineuk.com/serious-browser-vulnerability-affects-majority-of-android-users/article/371747/
- http://www.infosecurity-magazine.com/万博下载包news/android-flaw-spells-privacy/
- http://www.theregister.co.uk/2014/09/16/three_quarters_of_droid_phones_open_to_web_page_spy_bug/
- http://www.scmagazine.com/android-bug-allowing-sop-bypass-a-privacy-disaster-researcher-warns/article/371917/
- http://www.malavida.com/noticias/descubierto -联合国fallo -, - afecta - al - 75 - de los dispositivos - android - 003960
- http://www.elconfidencial.com/tecnologia/2014-09-18/un-fallo-de-seguridad-en-android-que-supone-un-desastre-para-la-privacidad_200392/
- http://www.linux-magazin.de/万博下载包NEWS/Android-Browser-Luecke-verursacht-Privacy-Disaster
- http://punto-informatico.it/4140171/PI/万博下载包News/android-bug-che-uccide-privacy.aspx
- http://www.heise.de/security/meldung/ungestopftes datenleck - -机器人开放源码浏览器- 2391930. - html
- http://ko.com.ua/uyazvimost_android_pozvolyaet_obhodit_mehanizm_sop_107074
- http://www.admin5.com/article/20140904/560503.shtml
- http://sec.chinabyte.com/319/13071819.shtml
- https://under-linux.org/content.php?r=9002
- http://www.qianjia.com/html/2014-09/09_237630.html
- http://linustechtips.com/main/topic/216087 - metasploit主要- android - bug - - -隐私灾难cve - 2014 - 6041/
- http://realestate万博下载包newsnyc.com/2014/09/15/major - android - bug - - -隐私灾难cve - 2014 - 6041/
- http://techupdates.com/go/918945
其他新闻文章万博下载包可能发现通过搜索“cve - 2014 - 6041”使用您的首选搜索引擎。此外,页面CVE标识符https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2014 - 6041包括一系列的报告作为参考。
CVE提到在2014年9月18日的文章题为“酒吧攻击目标网站访问者的石油和天然气公司”SCMagazine.com。本文的主题是“酒吧攻击,破坏者感染网站感兴趣的目标。”
CVE当作者提到:“昂公司有吸引力的目标,攻击者热衷于偷IP和敏感数据。”这个例子以注意力为攻击者针对昂科技初创公司几天后他们在新闻中获得新的资金为他们的技术,“拉胡尔卡首席安全架构师& Bromium安全研究主管,在周三告诉SCMagazine.com电子邮件通信。万博下载包“最终,用户访问这个网站是在美国财富1000强的制造业公司查看后本公司公告。这显示了一个典型的端到端场景的这种攻击增殖组织。”What Bromium found was malware that leveraged the CVE-2013-7331 vulnerability, which at that time was unpatched and had already been exploited in the wild by various exploit kits. "The trojan dropped was fairly sophisticated. It had obfuscation, anti-debugging, vm-detection, used an unpatched IE vulnerability (cve - 2013 - 7331)和一些经典的社会工程技巧,”卡什说。“被删除恶意软件是一个工具,安装其他恶意程序被感染的系统”。Its authors, he said, "could sell the infected systems as a 'vacant spot' for further malware installs."
CVE提到在2014年9月9日,文章题为“Sensys网络版本更新地址车辆交通传感器漏洞”SCMagazine.com。
CVE当作者提到:“Sensys网络,无线交通检测和综合交通数据的供应商系统,已经发布了更新地址漏洞VSN240-F和VSN240-T车辆交通传感器操作VDS 2.10.1之前的软件版本和之前TrafficDOT 2.10.3。脆弱性cve - 2014 - 2378涉及交通传感器接受软件修改不正确检查新代码的完整性,即传感器可能会损坏如果修改不当,ICS-CERT咨询表示。脆弱性cve - 2014 - 2379涉及潜在的未加密的无线交通流量传感器和访问点之间被截获和“重播影响交通数据,”意思是交通控制可能影响在一个十字路口,根据咨询。”
一些主要软件厂商和网络安全组织宣布,他们现在消费或生产CVE标识符数据也称为“CVE id”——吗新的编号格式。通过这种重要的一步,这些组织确保他们的产品,工具,和过程使用CVE将继续正常工作一次发布的CVE ID数字是使用新的语法,这可能发生在2014年底之前,不迟于星期二,2015年1月13日。读了新闻稿。
的语法CVE身份号码(例如,“cve - 2014 - 0160”,最后四位数)改变了2014年1月,CVE可以追踪10000或更多漏洞对于一个给定的日历年度。前面的四位数限制只允许每年多达9999个漏洞,但是改变是需要跟上每年越来越多的漏洞报告。有可能是10000年CVE IDs将于2014年年底前是必要的。现在标识符可以容纳5、6、或多个数字。
符合组织的认可
如果格式变化没有及时实现,它可能会严重影响用户的脆弱性管理实践。鼓励工业和其他CVE用户适应新格式,CVE承认那些宣称他们的组织,或将,符合新的CVE ID编号格式”组织符合新CVE ID语法”CVE网站页面。
早期采用者的这个新页面上新CVE编号格式列表包括:Adobe;普渡大学出现;CERT协调中心(CERT / CC);CERT-IST;EMC公司;高科技桥山;IBM;ICS-CERT;信息技术促进机构、日本(异丙醇);日本计算机紧急响应小组协调中心(JPCERT / CC);LP3;微软公司;国家标准与技术研究院、国家漏洞数据库(NVD);NSFOCUS;甲骨文;红帽公司。;SecurityTracker;SUSE有限责任公司;和赛门铁克公司。
技术指导和测试数据
组织不更新新的CVE编号格式风险可能即将发生的事情,他们的产品和服务可能会打破或报告不准确的漏洞标识符。使它容易更新、CVE网站提供免费技术指导和CVE测试数据为开发者和消费者使用来验证他们的产品和服务将正常工作。此外,对于那些使用国家漏洞数据库(NVD)数据,NIST在NVD格式提供测试数据http://nvd.nist.gov/cve-id-syntax-change。
迅速接近最后期限
时间紧迫。如果CVE不搬到新语法在2014年底之前,我们将确保我们的问题的情况下至少一个CVE ID在星期二,2015年1月13日。所有的组织使用CVE IDs现在需要采取行动,使升级这个版本之前的最后期限。
请解决任何评论或问题cve-id-change@mitre.org。
横切问题新闻发布关于即将到来的CVE ID语法合规的最后期限
manbetx客户端首页2014年9月17日发布的一份新闻稿中题为“主要软件厂商和网络安全组织的早期采用者之间横切的新漏洞命名格式“清单几组织已经兼容与新的CVE ID语法,并宣布新语法的CVE编号可以发布在2014年底之前,将不迟于周二公布,2015年1月13日。
产品和服务使用CVE ID和尚未更新到新的ID语法可以停止正常工作。
CVE中提到的是一个2014年8月25日,文章题为“漏洞真的风险或者仅仅是炒作吗上吗?”Techday.com。
CVE例如当作者提到:“另一个值得讨论的脆弱性是CVE - 2014 - 1776(不幸的是,并不是所有漏洞得到一个很酷的名字)。这个开发使用的ie漏洞使用后释放类型。在这种情况下,软件可以重用一个地址后已经被释放,一般来说,会导致程序崩溃。如果这是再加上一堆喷雾(加载特定shell代码在堆上然后在释放指针跳到shell代码)可以有目标软件执行代码。这是如何利用cve - 2014 - 1776。会利用该漏洞时受害者访问恶意HTML页面浏览。再次,防火墙并不旨在阻止浏览交通;没有软件使用的AV可以直接扫描因为shell代码注入到内存中。接下来会发生什么?任何攻击者想做; provided there is enough space. The attacker can siphon information, install a backdoor or use the code to create a new account."
本文作者总结说:“漏洞存在于所有的软件,他们并不局限于服务器和企业软件。他们可以在最小的项目以及在最复杂的系统。经过你的硬件/软件的任何数据,是否永久存储,是处于危险之中。任何业务的最后一件事,小型或者大型的,想要的是他们的数据落入坏人之手。脆弱性管理应该在每一个系统管理员或IT团队的列表。忽略它在自己的危险。”
CVE文章中提到关于漏洞通过在SCMagazine.com上钓鱼
CVE中提到的是一个2014年8月22日,文章题为“摩根大通客户针对大规模的钓鱼活动”SCMagazine.com。
CVE当作者提到:“摩根大通的客户是大规模的多方面的钓鱼活动影响的目标大多是美国人,根据安全公司的构建。运动是值得注意的“粗糙”,凯文•爱泼斯坦高级副总裁安全和治理与构建,周五告诉SCMagazine.com,解释说,大约500000网络钓鱼邮件已经发出了迄今为止,约有150000在第一波。网络钓鱼电子邮件看起来很合理,要求收件人点击阅读从摩根大通一个安全的加密消息,据周四发布。点击电子邮件将用户网络钓鱼页面请求的凭证;然而,网络钓鱼页面也主机平台开发工具,旨在利用众多漏洞下载的一个变体戴尔最初未被发现的恶意软件杀毒。在这些漏洞cve - 2012 - 0507和Java cve - 2013 - 2465, Internet Explorer 7的cve - 2013 - 2551, 8和9,cve ie 10 - 2013 - 0322, Flash cve - 2013 - 0634,和Silverlight cve - 2013 - 0074,爱泼斯坦说。“
CVE文章中提到的持续威胁”Heartbleed Bug在CSOonline.com上
CVE中提到的是一个2014年8月19日,文章题为“Heartbleed归咎于社区卫生系统漏洞:这是第一次Heartbleed有关此类事件”CSOonline.com。
CVE是在文章一开始就提到的,当作者声明:“根据TrustedSec的一篇博客文章中,信息安全咨询公司在俄亥俄州,违反社区卫生系统(CHS)攻击者针对缺陷OpenSSL的结果,CVE - 2014 - 0160,更好的被称为Heartbleed。这一事件标志着第一例Heartbleed一直与这个尺寸和类型的攻击。”
本文作者总结如下:“不幸的是,CHS可能只是最新的,大多数公共的受害者。Websense周二公布的研究显示了一个攻击的数量增加医院和医学团体自去年10月以来。根据他们的研究,大多数的攻击是通过Heartbleed。”
CVE中提到的是一个2014年8月7日,文章题为“NAS的盒子比路由器更脆弱,研究者发现”PCWorld.com。本文的重点是“安全审查的网络附加存储(NAS)设备从多个制造商透露,他们通常比家里的路由器有更多的漏洞,一个类的设备落后,安全与脆弱的代码。”
CVE提到如下:“到目前为止,安全组织僧帽分配22 CVE(常见的漏洞和风险敞口)标识符的问题研究者发现,但[NAS设备评估]项目刚刚开始和[更多有望发现]今年年底。”
1产品从VirtuStream现在注册为正式“CVE-Compatible”
一个额外的信息安全产品取得了横切的正式的最后阶段CVE兼容性过程现在正式”CVE-Compatible”。产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷发布为产品的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。总共143年产品迄今为止被认为是正式的。
以下产品现在注册为正式“CVE-Compatible”:
| Virtustream公司。 | - - - - - - | 分析和连续监测引擎(ACE) |
使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
的CVE格式标识符(CVE IDs)已经改变了。由于这种变化,所有的产品、服务和/或使用CVE id需要更新的过程。
以前,CVE IDs只能最后4位数字,如“CVE - 2014 - 0160”,但语法有限数量的id,可以发布在一个日历年度为9999。现在,无限的CVE IDs可以发布在某一年因为他们用新的格式可以最后4位数以上,如“CVE - 2014 - 99999”最后5位数,“CVE - 2014 - 456123”最后6位数字,等等。漏洞报告的数量正在迅速增长,每年的变化是非常必要的。
技术指导和测试数据可以在CVE网站为开发者和消费者提供了帮助你更新你的工具,网站和其他功能,接受新的CVE ID编号格式。问题或担忧可能会送到cve-id-change@mitre.org。
安全自动化车间2014在弗吉尼亚州麦克莱恩,托管在斜方公司,美国8月26 - 28日期间,2014年,将使政府和行业一起为了发展方向达成共识的端点姿势评估标准被开发互联网工程任务组(IETF)安全自动化连续监测(SACM)工作小组。
这个为期三天的事件是针对安全自动化工具厂商,终端用户和其他相关的利益相关者。议事日程包括会话,说明操作的差距和问题,以及挑战与当前安全自动化工作。将讨论与IETF SACM组相关联的文件以及其他相关的标准工作。除了美国政府主导的会议,其他选择行业和最终用户将被要求分享他们的经验和挑战的团队。目的是开放和富有成效的讨论如何收集、评估、和报告标准化的数据,需要识别软件漏洞,检测软件篡改和缺陷软件配置支持一些操作和安全流程。
作为这次活动的目的是促进协作政府和行业之间的对话,目标受众是那些关键利益相关者在供应商、终端用户组,并选择政府机构,使深现有的领域知识的讨论。这并不打算作为引入,为那些希望了解这一景观,和那些需要的信息被要求追求,在不同的地点。与会者的事件应该准备分享他们的经验和对未来的想法应该直接参与国家的安全自动化和相关的话题。
参观安全自动化车间2014页面一个议程,其他事件细节,和注册信息。
CVE标识符在使用赛门铁克公司“s”2014互联网安全威胁报告,卷19”,2014年4月被释放,来唯一地标识的许多漏洞报告中引用的文本和图表。
赛门铁克的一员CVE编辑委员会,它的DeepSight提醒服务和电脑漏洞数据库被认为是“正式CVE-Compatible”CVE-Compatible产品和服务部分。
CVE标识符“CVE - 2014 - 0224”在众多的安全公告和新闻媒体引用引用Heartbleed以来最关键的OpenSSL漏洞万博下载包
cve - 2014 - 0224被引用在众多主要报告、文章和文章相关的最新关键OpenSSL脆弱性因为Heartbleed-an SSL中间人(MITM) vulnerability-including下面的例子:
- http://www.zdnet.com/openssl-fixes-another-severe-vulnerability-7000030253/
- http://www.scmagazine.com/seven-vulnerabilities-addressed-in-openssl-update-one-enables-mitm-attack/article/351323/
- http://www.darkreading.com/vulnerabilities---threats/new-openssl-flaw-exposes-ssl-to-man-in-the-middle-attack/d/d-id/1269452
- http://www.networkworld.com/article/2360229/microsoft-subnet/critical-flaw-in-encryption-has-been-in-openssl-code-for-over-15-years.html
- http://www.eweek.com/security/openssl-finds-and-fixes-7-new-security-flaws.html
- http://www.theregister.co.uk/2014/06/05/openssl_bug_batch/
- http://www.cio-today.com/article/index.php?story_id=021000Q2VJNI
- http://www.net-security.org/secworld.php?id=16966
- http://www.pcworld.com/article/2360560/new-openssl-vulnerability-puts-encrypted-communications-at-risk-of-spying.html
- http://arstechnica.com/security/2014/06/still-reeling-from-heartbleed-openssl-suffers-from-crypto-bypass-flaw/
- http://www.pcpro.co.uk/万博下载包news/389161/new-vulnerability-discovered-in-openssl
- http://www.techweekeurope.co.uk/万博下载包news/openssl -补丁heartbleed - 146886
- http://www.eweek.com/security/new-openssl-flaws-arent-a-heartbleed-repeat.html
- http://www.itworldcanada.com/post/the-bleed-goes-on-new-openssl-flaws-found
- http://threatpost.com/new-openssl-mitm-flaw-affects-all-clients-some-server-versions/106470
- http://nakedsecurity.sophos.com/2014/06/06/latest-openssl-flaws-can-lead-to-information-leakage-code-execution-and-dos/
- http://thevarguy.com/network-security-and-data-protection-software-solutions/060614/openssl-bitten-another-security-bug
- http://www.itproportal.com/2014/06/06/new-openssl-bugs-uncovered-in-the-wake-of-heartbleed/
- http://www.computerweekly.com/万博下载包news/2240222088/Heartbleed-leads-to-discover-of-more-OpenSSL-flaws
- http://www.v3.co.uk/v3-uk/万博下载包news/2348696/openssl-man-in-the-middle-flaw-found-after-16-years
- http://www.internet万博下载包news.com/security/openssl-patches-mitm-flaws.html
其他新闻文章万博下载包可能发现通过搜索“cve - 2014 - 0224”使用您的首选搜索引擎。另外,请参见页面CVE标识符https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2014 - 0224的报告作为参考。
CWE CVE, CAPEC文章的主题是关于“Heartbleed”缺陷斜接的网络安全的博客
CWE CVE, CAPEC”是一篇文章的主题帮助阻止Heartbleed安全标准“CAPEC技术导致了Buttner横切的网络安全博客上5月7日,2014年。“Heartbleed”cve - 2014 - 0160,是一个严重的漏洞在“某些版本的OpenSSL,它允许远程攻击者获取敏感信息,比如密码和加密密钥。许多流行的网站受到影响或风险,反过来,让无数的用户和消费者面临风险。”
本文定义了常见的漏洞和风险敞口(CVE®),常见的弱点枚举(CWE™),常见的攻击模式枚举和分类(CAPEC™)努力和解释了每个解决问题。
在部分题为“CVE和Heartbleed”、“CWE Heartbleed”和“CAPEC Heartbleed,”这篇文章描述了CVE帮助当问题成为公众通过分配CVE - 2014 - 0160,也被称为Heartbleed错误,以及如何CWE和CAPEC可以帮助防止未来的Heartbleeds。
本文作者总结如下:“安全自动化的努力如CVE、CWE CAPEC可以帮助减少的可能性将来Heartbleed等类似的严重漏洞。但它是义不容辞开发者和其他安全专家积极利用这些资源来更好的准备下一个Heartbleed。”
CVE标识符“CVE - 2014 - 0160”中引用大量的安全公告和新闻媒体引用Heartbleed漏洞万博下载包
CVE标识符分配给“Heartbleed”漏洞cve - 2014 - 01602014年——公布4月7日,同一天,漏洞被公开。这个标识符的存在使得全球社区交流和分享信息关于这个漏洞以快速高效的方式。
cve - 2014 - 0160在几乎每一个主要的顾问,引用文章,文章,和响应Heartbleed有关,包括下面的例子:
- https://www.openssl.org/万博下载包news/secadv_20140407.txt
- http://filippo.io/Heartbleed/
- http://www.kb.cert.org/vuls/id/720951
- http://blogs.cisco.com/security/openssl - heartbleed脆弱性cve - 2014 - 0160 -和- mitigations/ -思科产品
- https://access.redhat.com/security/cve/cve - 2014 - 0160
- http://googleonlinesecurity.blogspot.com/2014/04/google-services-updated-to-address.html
- http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
- http://www.dell.com/learn/us/en/04/campaigns/heartbleed-remediation
- https://continuousassurance.org/blog/2014/04/09/openssl - heartbleed cve - 2014 0160/
- http://www2.fidelissecurity.com/e/11392/4-heartbleed-cliff-notes--html/vtg8l/474370179
- http://lxer.com/module/万博下载包newswire/view/200736/
- http://dfw.cbslocal.com/2014/04/08/internet-heartbleed-bug-exposing-passwords-to-hackers/
- http://www.livemint.com/Opinion/ZFtgPhvFMwvxJmFWaL1WDJ/How-to-stop-the-Webs-heart-from-bleeding.html
- http://www.theregister.co.uk/2014/04/09/heartbleed_vuln_analysis/
- http://blogs.computerworld.com/encryption/23767/heartbleed-openssl-open-source-fail
- http://www.pcworld.com/article/2142140/twitter-at-least-dodged-the-horrors-of-heartbleed.html
- http://www.sys-con.com/node/3053829
- http://online.wsj.com/article/pr - co - 20140415 - 912417. - html
- http://www.digitaltrends.com/mobile/50-million-android-smartphones-vulnerable-heartbleed-bug/
- https://bdaily.co.uk/advice/28-04-2014/what-heartbleed-can-teach-businesses-about-information-security/
- http://www.thanhnien万博下载包news.com/youth - science/the -品牌- - - bug - heartbleed如何成为- -家庭-名字- 25800. - html
- http://www.itjungle.com/tfh/tfh041414-story02.html
- http://venturebeat.com/2014/04/16/serious-question-who-should-pay-for-heartbleed/
- http://www.eweek.com/security/heartbeat-ssl-flaw-puts-linux-distros-at-risk.html/
许多其他新闻文章可以发现通过搜万博下载包索“Heartbleed”和/或“cve - 2014 - 0160”使用您的首选搜索引擎。另外,请参见页面CVE标识符https://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2014 - 0160的报告作为参考。
CVE和常见的弱点枚举(CWE™)2014年4月29日,是作为引用包括白皮书题为“cve - 2014 - 0160,cwe - 130:处理不当的长度参数不一致,cwe - 125:禁止入内的阅读。
CVE前言中提到3月/ 2014年4月的问题相声:《防御软件工程
CVE的序言中提到3月/ 2014年4月的问题相声:《防御软件工程的主题是“序言是由罗伯塔Stempfley的代理助理国务卿美国国土安全部的网络安全办公室和通讯,CVE提到如下:“我们如何协作协调行业和政府应对这些攻击(在信息和通讯技术(ICT)资产)?方法之一是通过常见的漏洞和风险敞口(CVE)列表,这是一个广泛的公开已知的漏洞发现清单后ICT组件部署。由美国国土安全部(DHS),无处不在的CVE的采用使得沟通的公共和私营部门以一致的方式在国内外商业和开源软件的漏洞。CVE使我们操作组优先,近60000公开报道漏洞补丁,和纠正。不幸的是,漏洞正在迅速增殖从而延伸我们的能力和资源。当我们试图发现和减轻这些弱点的根源,分享他们的知识我们可以帮助减轻其影响。为了跟上的威胁,我们必须促进自动化的信息交换。实现,国土安全部赞助商“免费使用”的标准,如:常见的弱点枚举(CWE),它提供了讨论和缓解的建筑,设计,和编码缺陷之前介绍了在开发和使用;常见的攻击模式枚举和分类(CAPEC),使开发者和维护者来辨别攻击和构建软件对他们;恶意软件属性枚举和表征(MAEC)编码和高保真恶意软件基于信息沟通行为,工件,和攻击模式; Structured Threat Information eXpression (STIX), which conveys the full range of potential cyber threat information using the Trusted Automated eXchange of Indicator Information."
整个问题是免费提供各种格式的http://www.crosstalkonline.org/。
CVE CWE文章中提到的关于减轻风险的假冒和污染组件2014年3月/ 4月期相声
CVE和常见的弱点枚举(CWE™)都包含在一篇文章写的斜方高级首席工程师罗伯特·马丁题为“相声:《防御软件工程的主题是“CVE和CWE中提到一段题为“通过业务价值做出改变,”如下:“一个行为改变一个行业出于一个新的商业价值,考虑到目前的许多供应商做公共披露这样做,因为他们想要包括CVE[14]报告给客户的标识符。然而,他们不可能CVE标识符分配给一个漏洞问题直到有公开信息CVE关联的问题。供应商是动机包括CVE标识符将请求从大型企业客户想要的信息,这样他们可以跟踪他们的漏洞补丁使用商用工具/补救措施。CVE标识符是他们计划将这些工具集成的方式。基本价值主张的社区创造一个生态系统,影响了软件产品供应商(以及脆弱性管理供应商)做事,帮助社区,作为一个整体,更有效地发挥自身作用。同样,大型企业利用CWE标识符来协调和相关内部软件质量/安全审查和其他保证措施。从这个起点,他们一直在问笔测试服务和工具社区CWE标识符包含在他们的发现。CWE标识符时发现是其他人认为是好的做法,直到笔测试行业参与者的商业价值有意义,他们开始采用和推广最先进的,以更好地利用它们。”
CWE也提到了一段名为“保证最危险的无恶意的问题”,解释了信息”CWE是什么以及如何能协助项目人员计划保证活动;它将使他们更好地结合弱点导致特定的分组技术影响的清单具体检测方法。这提供了信息的存在特定的缺点,使他们能够确保危险的解决。”
整个问题是免费提供各种格式的http://www.crosstalkonline.org/。
1产品从Altex-Soft现在注册为正式“CVE-Compatible”
一个额外的信息安全产品取得了横切的正式的最后阶段CVE兼容性过程现在正式”CVE-Compatible”。产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷发布为产品的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。总共161年产品迄今为止被认为是正式的。
以下产品现在注册为正式“CVE-Compatible”:
| Altex-Soft | - - - - - - | Altex-Soft Ovaldb |
使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
CVE IDs包含在年度“Secunia脆弱性评估2014”
CVE IDs包含在年度“2014年Secunia的脆弱性评估“报告Secunia“分析软件安全的进化从全球端点的视角。它提供了漏洞和补丁的可用性,数据和相关信息项目的市场份额将安全威胁映射到基础设施。”的report also explains what CVE is and how common identifiers improve security.
如何使用CVE id在报告中解释如下:“CVE已成为事实上的工业标准用于唯一地标识漏洞安全行业取得了广泛接受。使用cf作为漏洞标识符允许相关漏洞之间不同的安全产品和服务的信息。CVE信息分配在Secunia警告。CVE标识符的目的是,然而,不提供可靠的弱点,而是一种非常有用的,惟一标识符识别一个或多个漏洞并不同来源之间建立关联。使用CVE标识符计数的问题漏洞是CVE抽象规则可能合并相同类型的漏洞在同样的产品版本到单个CVE,导致一个CVE有时覆盖多个漏洞。这可能导致漏洞数量低于预期时基于CVE的统计数据标识符。”
这份报告是可以下载的http://secunia.com/vulnerability-review/index.html。
CVE提到在2014年3月26日,文章题为“偏向软件脆弱性统计赞扬微软误导了101%”NetworkWorld.com。本文的主题是“Secunia脆弱性评估2014”的审查报告。
CVE提到当作者引用讨论脆弱性统计数据的不确定性的影响,题为“买入偏见:为什么脆弱性统计吸”黑帽简报2013这是“CVE列表编辑史蒂夫Christey和布莱恩·马丁打开安全基金会的拉斯维加斯,NV, 2013年7月31日。
作者声明:“如果一个漏洞报告误导,那么我只能想象的恶化会导致一些人,如提供的绅士”买入偏差:为什么脆弱性统计吸“2013年黑帽。在那个时候,耶利哥content manager的开源漏洞数据库(OSVDB)史蒂夫·克里斯蒂,编辑器常见的漏洞和风险敞口(CVE)名单,宣布,“大多数的统计分析是错误的或者只是纯粹的废话。他们使用容易,但大大误解工艺无关的问题的数据基于野生的假设,而从来没有弄清楚(甚至问我们关于)数据的局限性。这通常会导致各种各样的偏见挑战,最终统计数据,使标题和形式,更糟的是,用于预算和支出。”During their presentation, they added, "As maintainers of two well-known vulnerability information repositories, we're sick of hearing about sloppy research after it's been released, and we're not going to take it any more." The author then discusses Brian Martin's (aka Jericho's) review of the Secunia report.
CVE提到在2014年3月21日的文章题为“如果软件开发生产一个柠檬,就做柠檬汁”GCN.com。CVE当作者提到:“安全开发生命周期(SDL)的微软主动帮助改变开发者考虑软件安全的方式。SDL过程现在显示为一个需求在政府采购,和国家安全机构表示,它已对操作系统安全产生影响。“SDL过程的基本目标是减少攻击表面,”
Proximis宣布其Apache CouchDB JSON CVE-Compatible数据库。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
1产品从NSFOCUS现在注册为正式“CVE-Compatible”
一个额外的信息安全产品取得了横切的正式的最后阶段CVE兼容性过程现在正式”CVE-Compatible”。产品现在有资格使用CVE-Compatible产品/服务标志,和完成并审查”CVE兼容性需求评估”问卷发布为产品的一部分组织的清单CVE-Compatible产品和服务CVE网站页面。总共160年产品迄今为止被认为是正式的。
以下产品现在注册为正式“CVE-Compatible”:
| NSFOCUS信息技术有限公司。 | - - - - - - | 下一代防火墙(NF) |
使用官方CVE-Compatible标志将允许系统管理员和其他安全专家寻找标志采用脆弱性管理产品和服务时企业和兼容性过程问卷可以帮助最终用户比较不同产品和服务如何满足CVE兼容性要求,因此这对他们的网络和系统具体的实现是最好的。
额外信息CVE兼容性和审查列出的所有产品和服务,访问CVE兼容性过程和CVE-Compatible产品和服务。
Codenomicon公司。宣布其二进制漏洞扫描器,Codenomicon Appcheck, CVE-Compatible。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
一个新的技术指导来处理新的CVE ID的语法页面现在CVE网站上可用。新页面提供了技术指导和测试数据为开发者和消费者提供了工具,网站和其他功能使用CVE标识符(CVE IDs),包括以下几点:考虑输入和输出格式,考虑提取或解析,提取和转换方法CVE id,一个例子转换算法输入id,和CVE ID为实现测试数据可供下载的ZIP文件。
反馈这个页面和/或测试数据是受欢迎的cve-id-change@mitre.org。
ViewTrust技术公司。宣布,其聚合能力,分析连续监测引擎(ACE),是CVE-Compatible。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
的新语法CVE标识符(CVE IDs) 1月1日生效,2014年。
新CVE ID语法可变长度,包括:
CVE前缀+年+任意数字
重要的:可变长度任意数字开始在四(4)固定的数字和扩大具有任意数字只有当需要在一个日历年度例如,CVE-YYYY-NNNN如果需要CVE-YYYY-NNNNN, CVE-YYYY-NNNNNNN等等。这也意味着不会有变化需要先前指定的CVE id,所有包括4位数。
参观CVE ID语法变化页面的附加信息,并发送任何评论或问题cve-id-change@mitre.org。
CVE ID语法变化信息图表可供新任命
一个信息图表解释前面的(即。,”old") CVE ID Syntax versus the New CVE ID Syntax that is in effect as of January 1, 2014 is available for reposting.
请随时与转发这张资讯图像。我们想语法变革宣布达成尽可能广泛的观众。
Hillstone网络宣布其Hillstone网络入侵防护系统是CVE-Compatible。这和其他CVE-Compatible产品的附加信息,访问CVE-Compatible产品和服务部分。
