什么是CVE?
CVE的全称叫做“Common Vulnerabilities & Exposures”中文含义是公共漏洞和暴露。它作为披露漏洞的平台,受到国内外关注。CVE会提供编号作为漏洞对应的字符串式特征,有很多企业倾向于用多少高质量的CVE来证明实力,一些工具和产品也会使用CVE作为漏洞的官方标识。一些企业关注漏洞使用CVE作为修补漏洞的索引依据。
如何去提交CVE?
目前经过总结提炼出来多种申请CVE的方法,每种方法都有利弊,请自行选择。大体上分为两种,公开披露和向CNA成员中问题厂商报告,如果需要披露漏洞请收藏。
申请披露流程
1、公开披露漏洞 -> 提交CVE申请 -> 邮件反馈申请结果
操作流程:CVE官方网站 -> Request CVE IDs(申请CVE ID) -> MITRE CVE Request web form(通过web表单提交) -> 填写表单(如果英文不佳建议使用网页谷歌翻译或者参考之前的文章) -> 等待CVE回复邮件 -> 邮件回复中带有CVE编号
2、邮件CNA中企业 -> 企业确认和修复 -> 企业申请CVE和发布漏洞补丁
操作流程:CVE官方网站 -> Request CVE IDs(申请CVE ID) -> 编写你的报告(英文) -> 例如提交 Apple Inc. 的有关漏洞,可以参考下面CNA厂商列表发送邮件到 product-security@apple.com。 -> 保持和厂商沟通通畅 -> 补丁和CVE
公开披露漏洞方法
厂商们一般不太喜欢直接披露漏洞,最好能优先联系厂商,另外如果公开披露的漏洞受影响厂商为CNA成员,可能会有法律风险。
Exploit Database
Exploit Database作为一个面向全世界黑客的漏洞提交平台,他们非常乐意收到关于您的漏洞披露邮件。如果你的漏洞已经有CVE编号,他们9成会收录。若反之,他们会验证漏洞有效性后收录,验证阶段可能需要1~3个工作日。
如果您需要提交漏洞可以参考 https://www.exploit-db.com/submit ,整理有发送邮件的格式和邮箱。
下面我详细说明:
1、按照格式编写报告内容,如果无可提供信息的地方需要留空,提交需要用英语,请注意删除中文注释部分。
Exploit Title(漏洞标题): [title]
Google Dork(谷歌搜索关键字): [if applicable]
Date(发现漏洞日期): [date]
Exploit Author(漏洞发现人): [author]
Vendor Homepage(供应商主页): [link]
Software Link(漏洞影响应用下载链接): [download link if available]
Version(影响的版本): [app version] (REQUIRED)
Tested on(在什么系统进行的测试): [relevant os]
CVE(CVE编号) : [if applicable] POC(漏洞证明):
2、发送邮件到 submit@offsec.com 。
3、等待 Exploit Database 主页中披露。
4、主页中披露后,按公开披露漏洞申请流程提交CVE。
GITHUB 个人项目
GITHUB 一个面向开源及私有软件项目的托管平台,在这之中可以创建个人项目。您可以建立关于漏洞提交的项目,用来披露漏洞详情。
建议参考描述模板,如果可以尽量使用英文,英文模板参考exploit-db提交模板。中文的报告可能会导致审核时间延长。
模板如下:
漏洞标题:
影响版本:
发现时间:
发现人:
分析报告:
修补方案:
项目中披露漏洞后,按公开披露漏洞申请流程提交CVE。
个人博客
使用个人博客也是非常好的方法,但是可能会用于博客的变动导致漏洞链接失效。适用于审核后删除链接,保障挖掘技术的不外泄。这种方法您可以在CVE申请通过后,删除个人博客上的链接。从技术分享的角度来看,并不推荐。博客可以是个人搭建也可以是博客园等等。
披露方法与GITHUB个人项目类似,在博客中使用模板描述详情,然后按照公开披露漏洞流程提交CVE申请,就不再多述。
HACKERONE
HACKERONE 是全球知名漏洞众测平台,您可通过他进行漏洞披露。选择受影响厂商,提交报告。披露流程参考 https://hackerone.com/ ,提交报告需要使用英文进行沟通。维护人员或者漏洞验证人员或研发人员会针对提交的情况进行复现和评分。沟通时候可以提出能否提供CVE编号用来记录此问题,如果问题足够得到相关人员的重视,会有人帮忙提交CVE或个人按照公开漏洞披露流程提交。
GITHUB issue
GITHUB issue是GITHUB项目按托管软件项目的问题反馈。不推荐在上面直接披露漏洞,原因是漏洞可能导致有不怀好意关注项目的人在修复之前利用,其次对于项目使用者存在不利影响,最后还有一些项目归档问题。这种方法已经在网络上有公开的文章,就不再多述。
CVE中文申请站
CVE中文申请站是专门为中文提交漏洞所设立的站点,可以发送邮件或web页面进行提交漏洞,报告可以使用中文编写。目前情况该站点已经关闭,可能之后会开启。
CNVD
在CNVD提交漏洞审核通过后,使用漏洞公告链接,通过CVE公开披露申请流程提交。但是这种方法,笔者并未测试,有人测试成功。
总结
申请CVE编号的方法有很多,目前笔者凭经验总结只有这些。如果有不完善地方欢迎斧正。若有更多的申请CVE编号的方法,请帮忙进行补充。