1、漏洞概述
1. 漏洞简介
在《GB/T 25069-2022信息安全技术术语》中,将脆弱性定义为:可能被一个或多个威胁利用的资产或控制的弱点。
漏洞是脆弱性(Vulnerability)的一种,是指计算机系统安全方面的缺陷,使得系统或其应用数据的保密性、完整性、可用性和访问控制等方面面临威胁。
当漏洞被发现并被厂商公布时,同时会发布漏洞的编号来唯一标识该漏洞。漏洞被收录在各机构的漏洞库中。
CVE(Common Vulnerabilities and Exposures)是一个业界公开披露的漏洞库。
CVE官网:CVE -CVE
漏洞查询:CVE -CVE
CVE漏洞编号的表示方法如下:
- CVE为每一个漏洞分配唯一的漏洞编号,格式为“CVE-年份-编号”,如CVE-2019-0708;
- 每个CVE漏洞主要包含以下信息:
- 描述:漏洞的来源、攻击方式等简要描述;
- 参考:漏洞的相关参考信息链接,如供应商的漏洞公告、建议等;
- CNA:发布此漏洞的CNA组织;
- 发布日期:此漏洞的发布日期;
2. 漏洞评估