CVE漏洞编号拿到后 官方公开信息才是有效的 提报诚可贵验证价更高

常看到安全圈子里面，某大牛一下拿到了100多个CVE漏洞，小编无比敬仰。谁知道，上周看到绿盟科技的漏洞专家给出了解释和说明，才知道原来里面还有很多门道，从中可以看到提交漏洞时遇到的常见问题。

CVE漏洞

CVE开始是由MITRE Corporation负责日常工作的。但是随着漏洞数量的增加，MITRE将漏洞编号的赋予工作转移到了其CAN（ CVE Numbering Authorities ）成员。CAN涵盖5类成员。目前共有69家成员单位。更多的组织流程见这里：

http://toutiao.secjia.com/cve-howto-work

1. MITRE：可为所有漏洞赋予CVE编号；
2. 软件或设备厂商：如Apple、Check Point、ZTE为所报告的他们自身的漏洞分配CVE ID。该类成员目前占总数的80%以上。
3. 研究机构：如Airbus，可以为第三方产品漏洞分配编号；
4. 漏洞奖金项目：如HackerOne，为其覆盖的漏洞赋予CVE编号；

国家级或行业级CERT：如ICS-CERT、CERT/CC，与其漏洞协调角色相关的漏洞。

一个cve漏洞多少钱

（小编，这个可不好说。要看你的漏洞是哪个厂商的漏洞了，不同的组织或许会有不同的 漏洞奖励计划 ，大家可以多关注这个关键词订阅。而且不同的漏洞肯定奖励级别也不一样）

以绿盟连续五年获得的微软MBB奖励计划为例，其要求原创漏洞必须满足如下指标，包括：

• 漏洞利用必须可靠，且有合理的请求；提交的技术、方法必须新颖，适用于Windows体系的利用远程代码执行漏洞；
• 必须适用于高风险的应用程序，如浏览器或文档阅读器；必须是通用的，即适用于多个内存崩溃漏洞；
• 漏洞必须来源于微软产品的最新版本等。该计划按漏洞价值奖励5000-6万美金不等。

微软MBB缓解绕过奖励计划张榜了 Top5中有腾讯Peter Hlavaty及绿盟科技Zhang Yunhai

CVE漏洞编号 是怎么拿到的？

申请CVE漏洞编号

cve在哪里申请？如何提交CVE漏洞？ 看这里，填写CVE编号申请表。

https://cveform.mitre.org/

申请表中会要求填写漏洞类型、产品厂商、受影响产品或代码及版本、厂商是否已确认该漏洞、攻击类型、影响类型、受影响组件、攻击方法或利用方法、CVE描述建议等。其中，CAN成员单位产品相关的漏洞，必须发给该CAN成员并向其申请CVE编号。例如如下，

分配CVE漏洞编号

METRE或CNAs成员保留并向提交者分配CVE编号。例如如下

CVE漏洞状态保留

METRE在CVE网站创建跟这些CVE编号有关的无内容的“空白”页面；漏洞状态为RESERVED。也就是说，RESERVED（保留）状态只是说METRE和CNAs成员收到了这个漏洞，漏洞质量或真实性是未经过验证的。例如如下，

公开信息的CVE漏洞才是有效的

那么CVE漏洞是如何验证的，如何确保其是真实有效的漏洞，下面就是关键的一步。

漏洞厂商公开CVE漏洞信息

请求者需通过可靠渠道公开披露，或与漏洞相关方分享这些CVE-ID编号漏洞信息。比如联系上面列举的的CNAs列表中的厂商，他们将在其首次公开宣布你的新漏洞时包含CVE-ID编号，多数厂商会在致谢词中提及漏洞致谢者的名称，如下所示。

CVE官方公开CVE漏洞分析信息

请求和将公开的CVE-ID编号通知METRE。 METRE去掉RESERVED标识，公开漏洞详细信息，并且reference中会包含厂商的漏洞公开页面。也就是说，只有这个阶段的漏洞，才是经过验证，才是真实有效的漏洞 。 例如如下，

METRE的这一措施是为了对CVE的漏洞质量进行把控，比如有些提交者提交的漏洞被发现是虚假的或存在问题的

漏洞信息公开会导致CVE漏洞攻击？

《 不了解CVE 就不能算是安全圈的人》 文中官方给出的解释，

用 cve id标识特定漏洞或暴露, 组织可以快速准确地从各种 cve 兼容的信息源中获取信息。通过在不同安全工具和服务之间的进行比对, cve 可以帮助组织选择最适合其需要的内容。

使用 cve 兼容的产品和服务还有助于改进对安全警告的响应。如果警告是 cve 兼容的, 则组织可以查看其扫描系统或安全服务是否检查到此威胁, 然后确定其入侵检测系统是否具有适当的攻击特征码。对于那些为客户构建或维护系统的组织来说, cve 的兼容性将有助于直接识别这些系统中的商业软件产品供应商的修补程序。这也要求供应商修复站点与 cve 兼容。

CVE漏洞信息公开后才是有效的

从上面的流程可以看到， 只有状态已经为公开的才是有效的漏洞， CVE编号只是为了便于 “ 在不同安全工具和服务之间的进行比对, cve 可以帮助组织选择最适合其需要的内容 ” 。举个例子，如果看到某个大牛号称发现了100多个CVE漏洞，先不要急于崇拜，要看看有多少处于Reserved状态，又有多少处于Disputed（有争议）状态。

原文发布时间：2017年9月11日

本文由：绿盟科技发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/cveid-status-value

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站