2020-04-15、2020-11-11、2021-06-29、2023-05-23更新
野人獻曝一點使用教學。
連上網站
https://nvd.nist.gov/
點 Products 後方加號,點 CPE Dictionary,下載 CPE 字典;
用關鍵字搜尋真正的 CPE Name,
貼到 CPE Search 畫面進行搜尋即可。
CPE字典步驟非必須,可以直接先用關鍵字,只是符合關鍵字的 CPE Name可能一堆,關鍵字找不到,再用 CPE 字典找 CPE Name。
2020-11-11 補充
以前得到的網址
若還要用,要換成
(完)
簡單的說,cpe_version 換成 query
(好像 2020年10月某日換掉的)
tomcat 相關
********************************************************************************
2021-06-29 補充,找 apache web server ( httpd ) 弱點
在 CPE Search 畫面 (Search Common Platform Enumerations (CPE))
有時候用關鍵字搜尋很難找,例如你要找 apache web server ( httpd ),輸入 apache,結果出現一堆 alejandro_garza:apachesolr_autocomplete, apache:accumulo 等不是目標的項目,甚至有時因為符合項目太多,結果出現
Timeout Error
Communication with back-end servers has timed out, this is usually a temporary error and the service will be available shortly. If this problem continues to occur, please send an email to nvd@nist.gov, along with a detailed description of the actions you attempted before this error was displayed.
Reference ID: NWVR-WEx
這種情況,點功夫用 CPE Dictionary ( CPE 字典) 或許較合適,
點 Products 後方加號 ( + ) 展開子選項,選 CPE Dictionary,目前有 2.2 和 2.3 版,有 .gz 和 .zip 兩種格式,敝人下載 official-cpe-dictionary_v2.3.xml.zip,
official-cpe-dictionary_v2.3.xml.zip 解壓縮得到 official-cpe-dictionary_v2.3.xml
用 Notepad++ 開啟 official-cpe-dictionary_v2.3.xml
以找 apache 的 Web Server ( httpd ) 為例:
若搜尋 apache,會有數萬條結果,不合適;
若搜尋 apache httpd,結果找不到,不合適;
改搜尋 httpd,會有一千多條結果,開頭一堆不是的;
改搜尋 httpd.apache,結果較合適,例如找 apache httpd 2.0.0 版:
<cpe-item name="cpe:/a:apache:http_server:2.0.0">
<title xml:lang="en-US">Apache Software Foundation Apache HTTP Server 2.0.0</title>
<references>
<reference href="http://httpd.apache.org/">Product</reference>
<reference href="http://archive.apache.org/dist/httpd/">Version</reference>
</references>
<cpe-23:cpe23-item name="cpe:2.3:a:apache:http_server:2.0.0:*:*:*:*:*:*:*"/>
</cpe-item>
表示真正要的 CPE NAME 是 cpe:2.3:a:apache:http_server:2.0.0:*:*:*:*:*:*:*
最後搜尋到的網址是
********************************************************************************
找 jQuery 弱點
找 jquery 弱點,official-cpe-dictionary_v2.3.xml 中用 jquery.com 搜尋,例如
<cpe-item name="cpe:/a:jquery:jquery:3.5.1::~~~node.js~~">
<title xml:lang="en-US">jquery 3.5.1 for Node.js</title>
<references>
<reference href="https://jquery.com/">Vendor</reference>
<reference href="https://github.com/jquery/jquery">Version</reference>
<reference href="https://www.npmjs.com/package/jquery">Product</reference>
</references>
<cpe-23:cpe23-item name="cpe:2.3:a:jquery:jquery:3.5.1:*:*:*:*:node.js:*:*"/>
</cpe-item>
上面這是 for Node.js 的 jquery,不是敝人要的;
<cpe-item name="cpe:/a:jquery:jquery:3.1.1">
<title xml:lang="en-US">jQuery 3.1.1</title>
<references>
<reference href="https://github.com/jquery/jquery/">Version</reference>
<reference href="http://jquery.com/">Vendor</reference>
</references>
<cpe-23:cpe23-item name="cpe:2.3:a:jquery:jquery:3.1.1:*:*:*:*:*:*:*"/>
</cpe-item>
上面這個才是,jQuery 3.1.1弱點列表
或用精確版本去搜也可,例如 jQuery 3.5.1,但只找到 for Node.js 版本。
*****
2023-05-23 jQuery 3.5.1 弱點
jQuery 3.5.1 for Node.js (錯誤)
https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&keyword=jquery+3.5.1
https://nvd.nist.gov/vuln/search/results?adv_search=true&isCpeNameSearch=true&query=cpe%3A2.3%3Aa%3Ajquery%3Ajquery%3A3.5.1%3A*%3A*%3A*%3A*%3Anode.js%3A*%3A*
https://nvd.nist.gov/vuln/search/results?adv_search=true&isCpeNameSearch=true&query=cpe%3A2.3%3Aa%3Ajquery%3Ajquery%3A3.5.1%3A*%3A*%3A*%3A*%3Anode.js%3A*%3A*
jQuery 3.5.1 (正確)( cpe:2.3:a:jquery:jquery:3.5.1:*:*:*:*:*:*:*)
別用 cpe:2.3:a:jquery:jquery:3.5.1 搜尋,會找到只有一個 for node.js 的
建議用 cpe:2.3:a:jquery:jquery 搜尋
CVE
********************************************************************************
bootstrap
建議用 cpe:2.3:a:getbootstrap:bootstrap 找,用 bootstrap 會找到一堆不是想要的
********************************************************************************
2023-05-23 PostgreSQL 13.9弱點
********************************************************************************
2023-05-23 Ckeditor 弱點
注意,NVD 的 CKEditor 有很多版本,有 for Drupal 或其他的,建議從 1, 2, 3, 4 頁找一下
CKeditor 4 只到 4.21.0 有弱點 ( cpe:2.3:a:ckeditor:ckeditor:4.21.0:*:*:*:*:*:*:* )
CKeditor 5 到 v27.0.1 有弱點 ( cpe:2.3:a:ckeditor:ckeditor5:27.1.0:*:*:*:*:*:*:* )
用 cpe:2.3:a:ckeditor:ckeditor5 搜尋方便點
********************************************************************************
ICSharpCode.SharpZipLib 1.0.0.999
1.0.0 為 2018/8/19 釋出,最新 1.3.2 於2021年5月釋出。
<cpe-23:cpe23-item name="cpe:2.3:a:sharpziplib_project:sharpziplib:1.0.0:-:*:*:*:*:*:*"/>
NVD 搜尋 SharpZipLib 1.0.0
有收錄,沒有弱點。
********************************************************************************
NPOI 1.2.5.0
1.2.5.0 為 2012/7/29 釋出,最新 2.5.4 為 2021-08-25。
NVD 直接搜尋 NPOI 1.2.5.0 找不到。
NVD 下載 Dictionary 直接搜尋 t.me 找不到,應該沒收錄。
********************************************************************************
Mime-Detective 0.0.6.0
0.0.6.0 是 2018/1/3 ~ 2018/11/24,不是 alpha 就是 beta,沒有正式版。
最新為 22.7.16 版,為 2021年7月釋出。
NVD 下載 Dictionary 直接搜尋 Mime-Detective 找不到,應該沒收錄。
********************************************************************************
生命週期
[研究] 軟體生命週期 End of Life (EOL)、LifeCycle
[研究]Microsoft .NET Framework 產品生命週期
Visual Studio 產品生命週期和服務 - Visual Studio 服務未涵蓋的元件
2021-08-10
.NET Core 2.1 (LTS) 生命週期到 2021年8月21日 為止
[研究] Oracle Database 生命週期結束時間與弱點、風險
********************************************************************************
DevExpress AJAX Control Toolkit
2023-06-13
Microsoft AJAX Control Toolkit 和 DevExpress AJAX Control Toolkit 是不同的
CPE: cpe:2.3:a:devexpress:ajax_control_toolkit
NVD只有收錄15.0版,只有一個 1 Medium
官方網站
目前最新20.1.0版
Microsoft AJAX Control Toolkit 於 NVD 沒有收錄
cpe:2.3:a:Microsoft:ajax_control_toolkit
Ajax Control Toolkit 4.1.60623 (.NET Framework 3.5) 2012/6/25 釋出
NuGet Ajax Control Toolkit 最新 20.1.0 (2020/6/9)
專案 (已經不存在)
改到
Oracle Mojarra Javaserver Faces 2.2.0
cpe:2.3:a:oracle:mojarra_javaserver_faces:2.2.0:-:*:*:*:*:*:*
https://nvd.nist.gov/products/cpe/detail/DE1B638B-1376-411D-81F4-B129982AF639?namingFormat=2.3&orderBy=CPEURI&keyword=Oracle+Mojarra+Javaserver+Faces+2.2.0&status=FINAL
********************************************************************************
Java JRE 8 Update 202
cpe:2.3:a:oracle:jre:1.8.0:update202:*:*:*:*:*:*
********************************************************************************
J2SE1.4.2
支援於2006/12/11結束,目前共154弱點,建議評估更新版本。
********************************************************************************
相關
[研究]Maven Repository - Java 元件資料庫 (有元件版本弱點列表)
沒有留言:
張貼留言