申請CVE的姿勢總結
- 2020 年 2 月 20 日
- 筆記
什麼是CVE?
CVE的全稱叫做「Common Vulnerabilities & Exposures」中文含義是公共漏洞和暴露。它作為披露漏洞的平台,受到中國外關注。CVE會提供編號作為漏洞對應的字元串式特徵,有很多企業傾向於用多少高品質的CVE來證明實力,一些工具和產品也會使用CVE作為漏洞的官方標識。一些企業關注漏洞使用CVE作為修補漏洞的索引依據。
如何去提交CVE?
目前經過總結提煉出來多種申請CVE的方法,每種方法都有利弊,請自行選擇。大體上分為兩種,公開披露和向CNA成員中問題廠商報告,如果需要披露漏洞請收藏。
申請披露流程
1、公開披露漏洞 -> 提交CVE申請 -> 郵件回饋申請結果
操作流程:CVE官方網站 -> Request CVE IDs(申請CVE ID) -> MITRE CVE Request web form(通過web表單提交) -> 填寫表單(如果英文不佳建議使用網頁Google翻譯或者參考之前的文章) -> 等待CVE回復郵件 -> 郵件回復中帶有CVE編號
2、郵件CNA中企業 -> 企業確認和修復 -> 企業申請CVE和發布漏洞修補程式
操作流程:CVE官方網站 -> Request CVE IDs(申請CVE ID) -> 編寫你的報告(英文) -> 例如提交 Apple Inc. 的有關漏洞,可以參考下面CNA廠商列表發送郵件到 [email protected]。-> 保持和廠商溝通通暢 -> 修補程式和CVE
公開披露漏洞方法
廠商們一般不太喜歡直接披露漏洞,最好能優先聯繫廠商,另外如果公開披露的漏洞受影響廠商為CNA成員,可能會有法律風險。
Exploit Database
Exploit Database作為一個面向全世界黑客的漏洞提交平台,他們非常樂意收到關於您的漏洞披露郵件。如果你的漏洞已經有CVE編號,他們9成會收錄。若反之,他們會驗證漏洞有效性後收錄,驗證階段可能需要1~3個工作日。
如果您需要提交漏洞可以參考 https://www.exploit-db.com/submit ,整理有發送郵件的格式和郵箱。
下面我詳細說明:
1、按照格式編寫報告內容,如果無可提供資訊的地方需要留空,提交需要用英語,請注意刪除中文注釋部分。
Exploit Title(漏洞標題): [title] Google Dork(Google搜索關鍵字): [if applicable] Date(發現漏洞日期): [date] Exploit Author(漏洞發現人): [author] Vendor Homepage(供應商主頁): [link] Software Link(漏洞影響應用下載鏈接): [download link if available] Version(影響的版本): [app version] (REQUIRED) Tested on(在什麼系統進行的測試): [relevant os] CVE(CVE編號) : [if applicable] POC(漏洞證明):
2、發送郵件到 [email protected] 。
3、等待 Exploit Database 主頁中披露。
4、主頁中披露後,按公開披露漏洞申請流程提交CVE。
GITHUB 個人項目
GITHUB 一個面向開源及私有軟體項目的託管平台,在這之中可以創建個人項目。您可以建立關於漏洞提交的項目,用來披露漏洞詳情。
建議參考描述模板,如果可以盡量使用英文,英文模板參考exploit-db提交模板。中文的報告可能會導致審核時間延長。
模板如下:
漏洞標題: 影響版本: 發現時間: 發現人: 分析報告: 修補方案:
項目中披露漏洞後,按公開披露漏洞申請流程提交CVE。
個人部落格
使用個人部落格也是非常好的方法,但是可能會用於部落格的變動導致漏洞鏈接失效。適用於審核後刪除鏈接,保障挖掘技術的不外泄。這種方法您可以在CVE申請通過後,刪除個人部落格上的鏈接。從技術分享的角度來看,並不推薦。部落格可以是個人搭建也可以是部落格園等等。
披露方法與GITHUB個人項目類似,在部落格中使用模板描述詳情,然後按照公開披露漏洞流程提交CVE申請,就不再多述。
HACKERONE
HACKERONE 是全球知名漏洞眾測平台,您可通過他進行漏洞披露。選擇受影響廠商,提交報告。披露流程參考 https://hackerone.com/ ,提交報告需要使用英文進行溝通。維護人員或者漏洞驗證人員或研發人員會針對提交的情況進行復現和評分。溝通時候可以提出能否提供CVE編號用來記錄此問題,如果問題足夠得到相關人員的重視,會有人幫忙提交CVE或個人按照公開漏洞披露流程提交。
GITHUB issue
GITHUB issue是GITHUB項目按託管軟體項目的問題回饋。不推薦在上面直接披露漏洞,原因是漏洞可能導致有不懷好意關注項目的人在修復之前利用,其次對於項目使用者存在不利影響,最後還有一些項目歸檔問題。這種方法已經在網路上有公開的文章,就不再多述。
CVE中文申請站
CVE中文申請站是專門為中文提交漏洞所設立的站點,可以發送郵件或web頁面進行提交漏洞,報告可以使用中文編寫。目前情況該站點已經關閉,可能之後會開啟。
CNVD
在CNVD提交漏洞審核通過後,使用漏洞公告鏈接,通過CVE公開披露申請流程提交。但是這種方法,筆者並未測試,有人測試成功。
總結
申請CVE編號的方法有很多,目前筆者憑經驗總結只有這些。如果有不完善地方歡迎斧正。若有更多的申請CVE編號的方法,請幫忙進行補充。
