信息安全技術 網絡安全漏洞標識與描述規(guī)范-編制說明_第1頁
信息安全技術 網絡安全漏洞標識與描述規(guī)范-編制說明_第2頁
信息安全技術 網絡安全漏洞標識與描述規(guī)范-編制說明_第3頁
信息安全技術 網絡安全漏洞標識與描述規(guī)范-編制說明_第4頁
信息安全技術 網絡安全漏洞標識與描述規(guī)范-編制說明_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

一、工作簡況1.1任務來源根據(jù)國家標準化管理委員會2018年下達的國家標準制修訂任務:《信息安全技術網絡安全漏洞標識與描述規(guī)范》,由國家信息技術安全研究中心負責承擔,任務號:2018BZXD-WG5-003。該標準由全國信息安全標準化技術委員會歸口管理。1.2任務背景在《網絡安全法》正式實施的新形勢下,當前的網絡空間安全發(fā)展態(tài)勢和應用環(huán)境發(fā)生了較大變化,網絡安全漏洞定義范圍得到了很大的擴展,國家漏洞管理逐步實施,漏洞所需描述的信息日益豐富,GB/T28458-2012《信息安全技術安全漏洞標識與描述規(guī)范》已無法滿足實際安全需求,因此有必要對該標準在漏洞定義、標識、命名、相關管理和技術方法等描述內容進行修訂。GB/T28458-2012《信息安全技術安全漏洞標識與描述規(guī)范》實施5年多,雖在部分機構漏洞發(fā)布管理中得到實施,但面臨配套法規(guī)措施缺乏、宣貫執(zhí)行力度弱等問題,國家漏洞庫、產品漏洞庫支持不足,需順應新形勢,修訂完善內容,大力推進貫徹實施。網絡安全漏洞已經成為網絡空間安全領域極其重要的內容,其標識與描述影響到我國漏洞庫建設,以及漏洞相關產品的設計、生產和維護,修訂GB/T28458-2012《信息安全技術安全漏洞標識與描述規(guī)范》,使之更適合新形勢下管理和應用需求,引導網絡安全漏洞技術研究,支撐國家對網絡安全漏洞的發(fā)布管理,推動網絡安全漏洞信息共享和統(tǒng)一引用,提升國家漏洞庫、網絡安全漏洞相關產品的規(guī)范性和有效性具有重要意義。本標準技術內容與同時修訂的GB/T30276-2013《信息安全技術信息安全漏洞管理規(guī)范》、GB/T30279-2013《信息安全技術安全漏洞等級劃分指南》、GB/T33561-2017《信息安全技術安全漏洞分類》緊密關聯(lián)、相互支撐,其修訂內容需協(xié)調一致。1.3主要起草單位和工作組成員國家信息技術安全研究中心主要負責起草,國家計算機網絡應急技術處理協(xié)調中心、中國信息安全測評中心、國家計算機網絡入侵防范中心、中國電子技術標準化研究院、中國科學院信息工程研究所、啟明星辰信息技術集團股份有限公司、北京百度網訊科技有限公司、360企業(yè)安全集團、北京神州綠盟信息安全科技股份有限公司、上海斗象信息科技有限公司、阿里巴巴(中國)網絡技術有限公司、深圳市騰訊計算機系統(tǒng)有限公司、北京知道創(chuàng)宇信息技術有限公司、恒安嘉新(北京)科技股份公司、安天科技股份有限公司、螞蟻金服服務集團、深信服科技股份有限公司、北京數(shù)字觀星科技有限公司、北京智言金信信息技術有限公司、上海計算機軟件技術開發(fā)中心等單位共同參與了該標準的起草工作。標準編制組成員均具有較豐富的網絡安全漏洞研究和漏洞庫管理經驗,以及標準編制經驗,人員包括核心編制工作組的王宏、張玉清、謝安明、劉奇旭、高紅靜、郭亮、黃正、何茂根等,以及參與編制工作組的高級技術人員舒敏、李斌、郝永樂、上官曉麗、任澤君、王千尋、王基策、陳悅、賈子驍、賈依真、徐雨晴、郭穎、傅振宇、白曉媛、石竹君、周景平、崔婷婷、趙煥菊、宋錚、申鶴、趙旭東、李霞、傅強、劉楠、崔牧凡、曲瀧玉、鄭亮、王文杰、史慧洋等共同參與標準的內容編制(修訂)與研討。1.4主要工作過程1.4.1制定工作計劃編制組制定了編制工作計劃和人員任務安排,并確定了編制組人員例會安排以便及時溝通交流工作情況。1.4.2參考資料該標準編制過程中,主要參考了:GB/T7408-2005數(shù)據(jù)元和交換格式信息交換日期和時間表示法GB7713-1987科學技術報告、學位論文和學術論文的編寫格式GB/T15835-1995出版物上數(shù)字用法的規(guī)定GB/T25069-2010信息安全技術術語GB/T28458-2012信息安全技術安全漏洞標識與描述規(guī)范GB/T30276-2013信息安全技術信息安全漏洞管理規(guī)范GB/T30279-2013信息安全技術安全漏洞等級劃分指南GB/T33561-2017信息安全技術安全漏洞分類規(guī)范GB/T30276-XXXX信息安全技術網絡安全漏洞管理規(guī)范GB/T30279-XXXX信息安全技術網絡安全漏洞分類分級指南中華人民共和國網絡安全法NISTSpecialPublication800-51,UseofCommonVulnerabilitiesandExposures(CVE)VulnerabilityNamingScheme,/publications/nistpubs/800-51/sp800-51.pdfNationalVulnerabilityDatabase./1.4.3確定編制內容標準編制組以《網絡安全法》為指導,與同時修訂的GB/T30276-2013《信息安全技術信息安全漏洞管理規(guī)范》、GB/T30279-2013《信息安全技術安全漏洞等級劃分指南》、GB/T33561-2017《信息安全技術安全漏洞分類》相協(xié)調,結合網絡安全漏洞管理和漏洞庫建設工作實踐,基于GB/T28458-2012《信息安全技術安全漏洞標識與描述規(guī)范》,參考GB/T25069-2010《信息安全技術術語》、NISTSpecialPublication800-51UseofCommonVulnerabilitiesandExposures(CVE)VulnerabilityNamingScheme、NationalVulnerabilityDatabase,完成標準的編制(修訂)工作,對網絡安全漏洞進行定義,對網絡安全漏洞的標識明確編號規(guī)則,并系統(tǒng)地歸納和闡述網絡安全漏洞的描述項。1.4.4編制工作簡要過程在網絡安全漏洞標識與描述規(guī)范國家標準修訂任務正式下達之前,標準工作組就已經開始了對現(xiàn)行相關國家標準、漏洞研究、管理和發(fā)展現(xiàn)狀的前期調研工作。編制組人員首先對所參閱的文獻、標準等資料進行查閱和理解,編寫標準編制提綱,并在對提綱進行修改完善的基礎上,開始具體的編制(修訂)工作。編制組在2018年5月前完成了對網絡安全漏洞的相關技術研究和有關標準的前期調研。調研期間,主要對現(xiàn)行的漏洞標識與描述規(guī)范國家標準實施情況進行了總結和分析,對國內外漏洞技術、漏洞管理的發(fā)展現(xiàn)狀與動向、相關標準、漏洞庫建設等情況進行了研究、分析和理解。2018年5月,在中國電子技術標準化研究院召開網絡安全漏洞國家標準修訂工作研討會,討論了GB/T28458-2012《信息安全技術安全漏洞標識與描述規(guī)范》、GB/T30276-2013《信息安全技術信息安全漏洞管理規(guī)范》、GB/T30279-2013《信息安全技術安全漏洞等級劃分指南》、GB/T33561-2017《信息安全技術安全漏洞分類》等標準的制修訂任務。5月30日,進一步討論了標準修訂工作要點。2018年6月,完成了標準草案初稿的編制工作。組織成立了漏洞標識和描述編制(修訂)工作組,吸收了18家研究單位30多名技術專家參與標準修訂,發(fā)布“網絡安全漏洞標識與描述規(guī)范修訂調研問題清單”,并對調研反饋進行總結分析。6月21日,在中國電子技術標準化研究院召開網絡安全漏洞國家標準修訂進展研討會,研討標準修訂進展、調研結果和編寫框架,聽取與會單位代表的意見。6月27日,成立了核心編制組,討論了調研及前期會議反饋的主要意見,進一步研究了編寫框架和任務。6月30日,以核心編制組人員收集的資料為基礎,在不斷的討論和研究中,完善內容,形成了本標準草案(第一稿)。2018年7月,編制組以會議研討方式在漏洞標準編制(修訂)牽頭單位、協(xié)作單位和參與單位中征求和研討意見。7月12日,在國家計算機網絡應急技術處理協(xié)調中心與網絡安全漏洞管理規(guī)范國家標準牽頭單位相關專家進行了研討,討論了對本標準草案(第一稿)的意見和兩個標準的銜接問題。7月19日,在國家信息技術安全研究中心召開漏洞標識和描述編制(修訂)工作組會議,在全體參與單位內部研討本標準草案。編制組根據(jù)反饋意見進行了修改,形成標準草案(第二稿)。2018年8月,編制組邀請WG5工作組專家對標準進行了研討和意見征詢。8月22日,在中國電子技術標準化研究院召開WG5工作組專家意見征詢會,會議專家主要意見包括:“網絡安全漏洞”定義的英文表述要與《網絡安全法》一致,補充對描述項的格式語言表示,部分描述項內容交叉和對部分描述項做必要的裁剪等問題。會后,編制組根據(jù)上述專家意見進行了修改,形成標準草稿(第三稿)。2018年10月15日,在北京應物會議中心召開WG5工作組專家審查會,會議專家主要意見包括:與其他兩個標準在術語和內容方面進一步協(xié)調統(tǒng)一,進一步規(guī)范標準的文字表述和文本格式,明確與現(xiàn)有漏洞庫的兼容問題,細化完善編制說明等問題。10月20日,在中國電子技術標準化研究院召開漏洞標準一致性研討會,會議邀請WG5工作組專家參加,對三個相關標準在術語和內容方面進行了協(xié)調統(tǒng)一。會后,編制組根據(jù)上述專家意見進行了修改,形成標準草稿(第四稿)。2018年10月25日,在山東青島舉辦的信安標委2018年第二次工作組“會議周”活動WG5工作組第2次會議上,共103家成員單位代表參加了會議,對標準草稿(第四稿)進行了討論和審議,建議推進形成征求意見稿。會議代表主要意見包括:網絡安全漏洞的定義進一步修改、描述項進一步明確、標準適用范圍進一步協(xié)調一致等問題。會后,編制組根據(jù)上述專家意見進行了修改,形成標準征求意見稿(第五稿)。2018年11月21日,在北京應物會議中心召開WG5工作組專家審查會,會議專家主要意見包括:增加網絡安全漏洞標識字段的描述內容,在編制說明中進一步明確與其他漏洞庫的兼容問題,補充專家意見處理匯總表采納情況的說明等問題。會后,編制組根據(jù)上述專家意見進行了修改,形成標準征求意見稿(第六稿)。1.4.5標準征求意見的落實情況標準征求意見的落實情況如下:發(fā)送《標準草案稿》的單位包括WG5工作組專家(會議征詢),共匯集反饋意見18條,其中未采納的意見0條,其余意見均為采納或部分采納,具體參見意見匯總處理表。發(fā)送《標準草案稿》的單位包括WG5工作組專家(會議審查),共匯集反饋意見18條,其中未采納的意見1條,其余意見均為采納,具體參見意見匯總處理表。發(fā)送《標準草案稿》的單位包括WG5工作組專家、成員單位代表(會議研討),共匯集反饋意見11條,其中未采納的意見3條,其余意見均為采納,具體參見意見匯總處理表。發(fā)送《標準草案稿》的單位包括WG5工作組專家(會議審查),共匯集反饋意見5條,其中未采納的意見0條,其余意見均為采納,具體參見意見匯總處理表。二、標準編制原則和確定主要內容的論據(jù)及解決的主要問題編制原則本標準符合我國的實際情況,遵從我國有關法律、法規(guī)的規(guī)定,與同族系相關技術標準協(xié)調一致。具體原則與要求如下:(1)先進性:標準反映網絡安全漏洞研究、發(fā)布和管理的先進技術水平;(2)開放性:標準的編制、評審與使用具有開放性;(3)適應性:標準結合我國國情;(4)簡明性:標準易于理解、實現(xiàn)和應用;(5)中立性:公正、中立,不與任何利益攸關方發(fā)生關聯(lián);(6)一致性:術語與國內外標準所用術語最大程度保持一致,保持與同族系相關技術標準《信息安全技術網絡安全漏洞管理規(guī)范》和《信息安全技術網絡安全漏洞分類分級指南》協(xié)調一致。標準內容2.2.1國內外漏洞描述標準制定情況國際現(xiàn)狀CVE的英文全稱是“CommonVulnerabilitiesandExposures”。它是由美國國土安全部(DHS)下屬的美國國家應急響應組(US-CERT)發(fā)起和主辦的,由MITRE公司管理。CVE就好像是一個字典表,為廣泛認同的安全漏洞給出一個唯一的標識??梢詭椭脩粼诟髯元毩⒌母鞣N漏洞數(shù)據(jù)庫中和漏洞評估工具中共享數(shù)據(jù),雖然這些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的“關鍵字”。如果在一個漏洞報告中指明的一個漏洞CVE編號,就可以快速地在任何其它CVE兼容的數(shù)據(jù)庫中找到相應修補的信息,解決安全問題。CVE是已知的漏洞的唯一的、通用的標識符,每個CVE包括以下內容:CVE標識號(如:"CVE-1999-0067"),其中1999為本漏洞產生的年份,0067為該漏洞在本年內的序號。自2014年1月份起,當序號超過4位數(shù)時,可以遞增到無限大,例如CVE-2014-7654321,如圖1所示。圖1CVE序號調整對漏洞的簡要描述;一些相關的參考條目。CVE的特點包括:為每個漏洞確定了唯一的標識號;給每個漏洞一個標準化的描述;任何完全迥異的漏洞庫都可以引用CVE;可以使得安全事件報告更好地被理解,實現(xiàn)更好的協(xié)同工作;可以成為評價相應工具和數(shù)據(jù)庫的基準;容易從互聯(lián)網查詢和下載,。CVE開始建立是在1999年9月,起初只有321個條目。在2000年10月16日,CVE達到了一個重要的里程碑——超過1000個正式條目。截至2018年10月18日,CVE條目已經達到了108518條。美國國家漏洞庫NVD,對CVE漏洞進行了更加詳細的描述,并提供XML、JSON等格式的數(shù)據(jù)源供下載。例如CVE-2018-11236漏洞的XML格式描述如下。<?xmlversion='1.0'encoding='UTF-8'?><nvdxmlns:patch="/schema/patch/0.1"xmlns:vuln="/schema/vulnerability/0.4"xmlns:xsi="/2001/XMLSchema-instance"xmlns="/schema/feed/vulnerability/2.0"xmlns:scap-core="/schema/scap-core/0.1"xmlns:cpe-lang="/language/2.0"xmlns:cvss="/schema/cvss-v2/0.2"nvd_xml_version="2.0"pub_date="2018-10-17T03:00:00"xsi:schemaLocation="/schema/patch/0.1/schema/nvd/patch_0.1.xsd/schema/feed/vulnerability/2.0/schema/nvd/nvd-cve-feed_2.0.xsd/schema/scap-core/0.1/schema/nvd/scap-core_0.1.xsd"><entryid="CVE-2018-11236"><vuln:vulnerable-configurationid="/"><cpe-lang:logical-testoperator="OR"negate="false"><cpe-lang:fact-refname="cpe:/a:gnu:glibc:2.27"/></cpe-lang:logical-test></vuln:vulnerable-configuration><vuln:vulnerable-software-list><vuln:product>cpe:/a:gnu:glibc:2.27</vuln:product></vuln:vulnerable-software-list><vuln:cve-id>CVE-2018-11236</vuln:cve-id><vuln:published-datetime>2018-05-18T12:29:00.353-04:00</vuln:published-datetime><vuln:last-modified-datetime>2018-06-19T11:37:17.440-04:00</vuln:last-modified-datetime><vuln:cvss><cvss:base_metrics><cvss:score>6.8</cvss:score><cvss:access-vector>NETWORK</cvss:access-vector><cvss:access-complexity>MEDIUM</cvss:access-complexity><cvss:authentication>NONE</cvss:authentication><cvss:confidentiality-impact>PARTIAL</cvss:confidentiality-impact><cvss:integrity-impact>PARTIAL</cvss:integrity-impact><cvss:availability-impact>PARTIAL</cvss:availability-impact><cvss:source></cvss:source><cvss:generated-on-datetime>2018-06-18T10:38:41.500-04:00</cvss:generated-on-datetime></cvss:base_metrics></vuln:cvss><vuln:cweid="CWE-190"/><vuln:referencesxml:lang="en"reference_type="VENDOR_ADVISORY"><vuln:source>BID</vuln:source><vuln:referencehref="/bid/104255"xml:lang="en">104255</vuln:reference></vuln:references><vuln:referencesxml:lang="en"reference_type="UNKNOWN"><vuln:source>MISC</vuln:source><vuln:referencehref="/bugzilla/show_bug.cgi?id=22786"xml:lang="en">/bugzilla/show_bug.cgi?id=22786</vuln:reference></vuln:references><vuln:referencesxml:lang="en"reference_type="PATCH"><vuln:source>MISC</vuln:source><vuln:referencehref="/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2"xml:lang="en">/git/gitweb.cgi?p=glibc.git;h=5460617d1567657621107d895ee2dd83bc1f88f2</vuln:reference></vuln:references><vuln:summary>stdlib/canonicalize.cintheGNUCLibrary(akaglibcorlibc6)2.27andearlier,whenprocessingverylongpathnameargumentstotherealpathfunction,couldencounteranintegeroverflowon32-bitarchitectures,leadingtoastack-basedbufferoverflowand,potentially,arbitrarycodeexecution.</vuln:summary></entry></nvd>國內現(xiàn)狀國內安全漏洞庫相關領域的研究最早開始于研究機構,有部分研究者從事安全漏洞庫的設計和實現(xiàn)工作,但他們的工作重點并不是收集和發(fā)布漏洞信息,而是通過整合漏洞屬性設計合理完善的漏洞庫結構,因此這類漏洞庫并沒有投入實際應用。隨著信息安全的發(fā)展,部分政府機構、安全組織和公司開始根據(jù)自身的需求建立漏洞庫。表1對國內部分安全漏洞庫做了簡要分析,從表中可以看出國內漏洞庫針對漏洞的描述有待于進一步規(guī)范。表1國內部分安全漏洞庫中漏洞描述介紹CNVDCNNVD知道創(chuàng)宇NSFOCUS綠盟360CNVD-IDCNNVD編號漏洞編號發(fā)布日期漏洞編號公開日期危害等級披露/發(fā)現(xiàn)時間更新日期漏洞等級危害級別CVE編號提交時間受影響系統(tǒng)漏洞摘要與描述漏洞描述漏洞類型漏洞等級描述漏洞反饋參考鏈接發(fā)布時間漏洞類別來源漏洞類型漏洞解決方案威脅類型影響組件建議漏洞詳情廠商補丁更新時間漏洞作者廠商補丁受影響的產品和版本驗證信息廠商提交者瀏覽次數(shù)解決方案報送時間漏洞來源CVE-ID嚴重程度修復過程收錄時間漏洞簡介CNNVD-ID修訂歷史更新時間漏洞公告CNVD-ID引用漏洞附件參考網址ZoomEyeDork來源來源鏈接漏洞詳情受影響實體PoC補丁參考鏈接解決方案2.2.2標準結構本標準的編寫格式和方法依照GB/T1.1-2009標準化工作導則第一部分:標準的結構和編寫規(guī)則。本標準主要結構包括如下內容:范圍規(guī)范性引用文件術語和定義縮略語網絡安全漏洞標識與描述5.1框架5.2標識項5.3描述項附錄參考文獻2.2.3主要內容范圍、規(guī)范性引用文件、術語和定義、縮略語該部分定義了本標準適應的范圍,所引用的其它標準情況,及以何種方式引用,術語和定義部分明確了該標準所涉及的一些術語。在術語中明確了“網絡安全漏洞”等重要概念。在縮略語中明確了本標準中涉及到的CNVD、CNNVD、CVD、CVE、XML等縮略語。網絡安全漏洞標識與描述該部分明確了本標準規(guī)范網絡安全漏洞標識與描述的框架和內容。網絡安全漏洞標識與描述框架分為標識項和描述項兩大類,標識項包括標識號、相關編號兩項,描述項包括名稱、發(fā)布時間、發(fā)布組織、驗證組織、發(fā)現(xiàn)者、類別、等級、受影響產品或系統(tǒng)、存在性說明等九項描述必須項,并可根據(jù)需要擴展檢測方法、解決方案建議、其他描述等描述項。網絡安全漏洞標識與描述內容如下:(1)標識項1)標識號:網絡安全漏洞標識號格式為:CVD-YYYY-NNNNNN。CVD(CybersecurityVulnerabilityDescriptions的縮寫)為固定編碼前綴;YYYY為4位十進制數(shù)字,表示本漏洞發(fā)現(xiàn)的年份;NNNNNN為6位十進制數(shù)字,表示YYYY年內該漏洞的序號,必要時可擴展位數(shù)。以CVD-YYYY-000001為YYYY年發(fā)布的第一個漏洞的編號。每個漏洞的標識號是唯一的。2)相關編號:同一漏洞在不同組織中的編號,例如CNVD編號、CNNVD編號、CVE編號或其他組織自定義的漏洞編號等。(2)描述項3)名稱:概括性描述漏洞信息的短語。采用分段式格式描述,包括固定字段和自定義字段。格式為:受影響產品或系統(tǒng)名稱.等級.類別.自定義字段。前三段為固定字段,使用中英文或數(shù)字標識。第四段起為自定義字段,屬可選項,可增加多個。自定義字段主要用于補充描述固定字段以外的其他信息,例如漏洞的別稱等。4)發(fā)布時間:網絡安全漏洞信息發(fā)布的日期。日期書寫格式為:YYYY-MM-DD。其中,YYYY表示一個日歷年,MM表示日歷年中日歷月的順序數(shù),DD表示日歷月中日歷日的順序數(shù)。5)發(fā)布組織:發(fā)布網絡安全漏洞信息的組織,具體說明見GB/T30276-XXXX。6)驗證組織:對網絡安全漏洞的存在性、等級、類別等進行技術驗證的組織,具體說明見GB/T30276-XXXX。7)發(fā)現(xiàn)者:發(fā)現(xiàn)網絡安全漏洞的個人或組織。發(fā)現(xiàn)者以其個人標識或組織名稱命名。不能確認發(fā)現(xiàn)者身份,或漏洞信息為匿名披露的,發(fā)現(xiàn)者可標識為“匿名”。漏洞發(fā)現(xiàn)者為個人的,可以冠以其所屬組織名稱,格式規(guī)范為:漏洞發(fā)現(xiàn)者個人標識(漏洞發(fā)現(xiàn)者組織名稱)。發(fā)現(xiàn)者允許多個,以分號相隔。8)類別:網絡安全漏洞所屬分類,說明漏洞分類歸屬的信息。類別遵循GB/T30279-XXXX中的漏洞成因分類。9)等級:網絡安全漏洞危害級別,說明漏洞能夠造成的危害程度。等級遵循GB/T30279-XXXX中的技術分級。10)受影響產品或系統(tǒng):該漏洞所存在的產品或系統(tǒng)的詳細信息,包括供應商、名稱、版本號等內容。對于共用中間件或者組件的漏洞,受其影響的相關產品或系統(tǒng)信息均可列出。11)存在性說明:描述該漏洞的觸發(fā)條件、生成機理或概念性證明等。12)檢測方法:網絡安全漏洞掃描或測試的方法,例如漏洞檢測代碼、程序或方法說明等。13)解決方案建議:網絡安全漏洞的解決方案,例如補丁信息、修復建議或控制措施等。14)其他描述:網絡安全漏洞描述需要說明的其他相關信息。附錄附錄部分為資料性附錄,給出了網絡安全漏洞描述項示例的XML表示。<?xmlversion="1.0"encoding="UTF-8"?><cvd_items><標識號>CVD-2018-101001</標識號><名稱>LinuxKernel.高危.競爭條件漏洞.臟牛Ⅱ漏洞</名稱><發(fā)布時間>2018-11-10</發(fā)布時間><發(fā)布組織>國家計算機網絡應急技術處理協(xié)調中心</發(fā)布組織><驗證組織>國家信息技術安全研究中心</驗證組織><發(fā)現(xiàn)者>中國信息安全測評中心</發(fā)現(xiàn)者><類別>競爭條件漏洞</類別><等級>高危</等級><受影響產品或系統(tǒng)><生產廠商>Debian</生產廠商><系統(tǒng)信息><系統(tǒng)名稱>debian_linux</系統(tǒng)名稱><版本號>7.0</版本號><版本號>8.0</版本號></系統(tǒng)信息></受影響產品或系統(tǒng)><存在性說明>Linuxkernel2.x至4.8.3之前的4.x版本中的mm/gup.c文件存在競爭條件漏洞,該漏洞源于程序沒有正確處理copy-on-write(COW)功能寫入只讀內存映射。</存在性說明><相關編號><NIPC>nipc-2018-xxxxxx</NIPC><CVE>CVE-2018-xxxx</CVE></相關編號><檢測方法>下載檢測代碼并編譯,使用非root用戶運行生成的程序,對只讀文件進行寫入,如果寫入成功,則漏洞存在。檢測代碼下載地址為/dirtycow2/</檢測方法><解決方案建議>廠商發(fā)布了升級程序修復該漏洞,請及時關注更新:/cgit/linux/kernel/git/torvalds/linux.git/commit/</解決方案建議><其他描述></其他描述></cvd_items>編制目的本標準的編制目的就是希望吸取國際、國內先進的網絡安全漏洞研究與發(fā)布管理經驗和相關技術內容,結合我國網絡安全漏洞庫建設與漏洞管理工作的特點,制定出具有指導意義的技術規(guī)范:(1)本標準給出網絡安全漏洞標識與描述的信息與格式規(guī)范,支撐和指導機構進行網絡安全漏洞發(fā)布管理,有助于機構掌握、理解、改善相關網絡系統(tǒng)的漏洞風險狀況和安全態(tài)勢;(2)本標準面向網絡產品生產、技術研發(fā)、系統(tǒng)運營等組織,提供統(tǒng)一的網絡安全漏洞標識編號和規(guī)范的網絡安全漏洞描述信息,可促進與網絡安全漏洞相關的產品與系統(tǒng)的信息共享與互操作,提高網絡安全保障的整體有效性;(3)本標準主要對網絡安全漏洞標識與描述的相關信息提供了切實可行的規(guī)范,在漏洞數(shù)據(jù)庫實際建設與運行時,可參考本標準指導并規(guī)范漏洞數(shù)據(jù)項字段,進而高效地完成漏洞數(shù)據(jù)庫構建與管理工作。三、主要驗證情況分析本標準是基于網絡安全漏洞標識、漏洞數(shù)據(jù)庫建設和漏洞信息發(fā)布管理實踐提出的,相關技術已在應用中進行了實際驗證。本編制說明2.2.1中提到了多個國內外重要漏洞庫,例如國家信息安全漏洞庫CNNVD、國家信息安全漏洞共享平臺CNVD,以及國際漏洞統(tǒng)一編號CVE。為了使得本規(guī)范與國內外主流漏洞編號及漏洞庫兼容,我們在漏洞描述的“相關編號”增加了同一漏洞在不同組織中的編號。例如CNVD編號、CNNVD編號、CVE編號或其他組織自定義的漏洞編號等。范例:CVE-2018-3137是OracleMySQLServer組件安全漏洞,在國家信息安全漏洞庫編號為CNNVD-201810-954,在國家信息安全漏洞共享平臺的編號為CNVD-2018-21614,那么在本標準中,將本標準描述如下:OracleMySQLServer.中危.拒絕服務漏洞<相關編號><CNVD>CNVD-2018-21614</CNVD><CNNVD>CNNVD-201810-954</CNNVD><CVE>CVE-2018-3137</CVE></相關編號>另外,本規(guī)范中規(guī)定了“其他描述”項,即網絡安全漏洞描述需要說明的其他相關信息。對于國內已有主流漏洞庫,若存在不一致的描述項,可以通過“其他描述”進一步擴展漏洞的內容。四、知識產權情況說明本標準不涉及專利。五、采用國際標準和國外先進標準情況依據(jù)NISTSP800-51《公共漏洞及其暴露(CVE)命名方案的使用》,由美國國土安全部(DHS)下屬的美國國家應急響應組(US-CERT)發(fā)起和主辦,由MITRE公司管理CVE標準,并基于此標準建立了美國家漏洞庫NVD。CVE的英文全稱是“CommonVulnerabilitiesandExposures”。它是一個字典表,為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個唯一的命名,可以幫助用戶在各自獨立的各種漏洞數(shù)據(jù)庫和漏洞評估工具中共享數(shù)據(jù)。這使得

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論