Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Od początku sierpnia 2023 CERT Polska może nadawać numery CVE.
Każdy kto miał do czynienia z technicznym bezpieczeństwem IT na pewno spotkał się z pojęciem CVE. Popularnie rzecz ujmując, jest to baza zawierająca publicznie znane podatności, które można wyszukiwać np. tutaj.
Tymczasem CERT Polska ogłosił na swoich stronach:
Od początku sierpnia CERT Polska jako jedyna instytucja w kraju i jeden z 7 CERT-ów w Europie może nadawać numery CVE, które służą identyfikacji i katalogowaniu publicznie ujawnionych podatności.
Znalazłeś podatność? Teraz możesz zgłosić ją do CERT Polska (szczegóły tutaj).
~ms
no žarty
Gratulacje!
No i fajnie:) są jednymi z 308 dostawców danych ;) https://www.cve.org/PartnerInformation/ListofPartners/partner/CERT-PL
A tak swoją drogą, to czy jest jakaś multi wyszukiwarka CVE (jak dla IP’ków w rodzaju https://multirbl.valli.org) zbierająca wyniki z różnych baz?
Wydaje mi się, że
https://www.opencve.io/cve (221475 rekordów)
oraz ta
https://cve.circl.lu (z Luxemburga, 211 143 rekordów, chyba najwięcej)
mogłaby mieć miano pretendenta na takie miano ;)
A może https://vulmon.com? Macie coś jeszcze fajnego do polecenia?
Bo chwilami czuję się zagubiony i szukając szczegółowych informacji sięgam do kilku źródeł, które różnią się liczbą rekordów, zakresem danych czy interfejsem:
Baza https://www.cve.org ma obecnie 208530 rekordów (największa i chyba najpopularniejsza)
https://cve.mitre.org ma obecnie 208582 rekordów
(te 2 powyższe niby to samo, ale czy ktoś wie skąd te różnice w liczbie rekordów?)
https://vulniq.com (178584 rekordów)
https://www.cvedetails.com ma obecnie 154792 (IMHO ładny UI, sporo updatów, mam wrażenie, że najbardziej zadbana, np. dziś na tę chwilę dodane już 24 rekordy lub poczynione updaty, podczas gdy u innych parę dni opóźnienia)
https://nvd.nist.gov/vuln/search
https://www.cisa.gov/known-exploited-vulnerabilities-catalog (ostatnio 1 wpis z 31 lipca, po 1-2 dziennie)
https://security.snyk.io (3180 rekordów)
https://www.wordfence.com/threat-intel/vulnerabilities (11308 rekordów, głownie podatności w WordPressowych komponentach) i paru innych z tej listy
https://github.com/edoardottt/awesome-hacker-search-engines
np. CVE-2023-3162
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/payment-gateway-stripe-and-woocommerce-integration/stripe-payment-plugin-for-woocommerce-377-authentication-bypass (tu już CVSS 9.8)
https://www.cvedetails.com/cve/CVE-2023-3162/?q=CVE-2023-3162 (tu jej nie ma)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3162 (tu status reserved)
https://cve.circl.lu/cve/CVE-2023-3162 (tu jej nie ma)
https://www.opencve.io/cve/CVE-2023-3162 (tu jej nie ma)
Wiadomo, kwestia, dodatkowych weryfikacji przez innych badaczy, niemniej zauważam i takie przypadki.
Szukanie oraz weryfikowanie informacji zajmuje więcej czasu niż zakładałem ;) Tez tak macie?