2020年4月15日 星期三

[研究] NIST NVD (National Vulnerability Database) 國家漏洞資料庫-使用心得

[研究] NIST NVD (National Vulnerability Database) 國家漏洞資料庫-使用教學

2020-04-15、2020-11-11、2021-06-29、2023-05-23更新

野人獻曝一點使用教學。

連上網站
https://nvd.nist.gov/
點 Products 後方加號,點 CPE Dictionary,下載 CPE 字典;
用關鍵字搜尋真正的 CPE Name,
貼到 CPE Search 畫面進行搜尋即可。

CPE字典步驟非必須,可以直接先用關鍵字,只是符合關鍵字的 CPE Name可能一堆,關鍵字找不到,再用 CPE 字典找 CPE Name。











2020-11-11 補充

以前得到的網址
若還要用,要換成

簡單的說,cpe_version 換成 query
(好像 2020年10月某日換掉的)

tomcat 相關

********************************************************************************
2021-06-29 補充,找 apache web server ( httpd ) 弱點

在 CPE Search 畫面 (Search Common Platform Enumerations (CPE))
有時候用關鍵字搜尋很難找,例如你要找 apache web server ( httpd ),輸入 apache,結果出現一堆 alejandro_garza:apachesolr_autocomplete, apache:accumulo 等不是目標的項目,甚至有時因為符合項目太多,結果出現

Timeout Error
Communication with back-end servers has timed out, this is usually a temporary error and the service will be available shortly. If this problem continues to occur, please send an email to nvd@nist.gov, along with a detailed description of the actions you attempted before this error was displayed.

Reference ID: NWVR-WEx

這種情況,點功夫用 CPE Dictionary ( CPE 字典) 或許較合適,
點 Products 後方加號 ( + ) 展開子選項,選 CPE Dictionary,目前有 2.2 和 2.3 版,有 .gz 和 .zip 兩種格式,敝人下載 official-cpe-dictionary_v2.3.xml.zip,
official-cpe-dictionary_v2.3.xml.zip 解壓縮得到 official-cpe-dictionary_v2.3.xml
用 Notepad++ 開啟 official-cpe-dictionary_v2.3.xml

以找 apache 的 Web Server ( httpd ) 為例:
若搜尋 apache,會有數萬條結果,不合適;
若搜尋 apache httpd,結果找不到,不合適;
改搜尋 httpd,會有一千多條結果,開頭一堆不是的;
改搜尋 httpd.apache,結果較合適,例如找 apache httpd 2.0.0 版:

<cpe-item name="cpe:/a:apache:http_server:2.0.0">
    <title xml:lang="en-US">Apache Software Foundation Apache HTTP Server 2.0.0</title>
    <references>
      <reference href="http://httpd.apache.org/">Product</reference>
      <reference href="http://archive.apache.org/dist/httpd/">Version</reference>
    </references>
    <cpe-23:cpe23-item name="cpe:2.3:a:apache:http_server:2.0.0:*:*:*:*:*:*:*"/>
  </cpe-item>

表示真正要的 CPE NAME 是 cpe:2.3:a:apache:http_server:2.0.0:*:*:*:*:*:*:*
最後搜尋到的網址是

********************************************************************************
找 jQuery 弱點

找 jquery 弱點,official-cpe-dictionary_v2.3.xml 中用 jquery.com 搜尋,例如

  <cpe-item name="cpe:/a:jquery:jquery:3.5.1::~~~node.js~~">
    <title xml:lang="en-US">jquery 3.5.1 for Node.js</title>
    <references>
      <reference href="https://jquery.com/">Vendor</reference>
      <reference href="https://github.com/jquery/jquery">Version</reference>
      <reference href="https://www.npmjs.com/package/jquery">Product</reference>
    </references>
    <cpe-23:cpe23-item name="cpe:2.3:a:jquery:jquery:3.5.1:*:*:*:*:node.js:*:*"/>
  </cpe-item>

上面這是 for Node.js 的 jquery,不是敝人要的;

<cpe-item name="cpe:/a:jquery:jquery:3.1.1">
    <title xml:lang="en-US">jQuery 3.1.1</title>
    <references>
      <reference href="https://github.com/jquery/jquery/">Version</reference>
      <reference href="http://jquery.com/">Vendor</reference>
    </references>
    <cpe-23:cpe23-item name="cpe:2.3:a:jquery:jquery:3.1.1:*:*:*:*:*:*:*"/>
  </cpe-item>

上面這個才是,jQuery 3.1.1弱點列表

或用精確版本去搜也可,例如 jQuery 3.5.1,但只找到 for Node.js 版本。
*****
2023-05-23 jQuery 3.5.1 弱點
jQuery 3.5.1 for Node.js (錯誤)

jQuery 3.5.1 (正確)( cpe:2.3:a:jquery:jquery:3.5.1:*:*:*:*:*:*:*) 
別用 cpe:2.3:a:jquery:jquery:3.5.1 搜尋,會找到只有一個 for node.js 的

建議用 cpe:2.3:a:jquery:jquery 搜尋

CVE

********************************************************************************
bootstrap 

建議用 cpe:2.3:a:getbootstrap:bootstrap 找,用 bootstrap 會找到一堆不是想要的

********************************************************************************
2023-05-23 PostgreSQL 13.9弱點
********************************************************************************
2023-05-23 Ckeditor 弱點

注意,NVD 的  CKEditor 有很多版本,有 for Drupal 或其他的,建議從 1, 2, 3, 4 頁找一下

CKeditor 4 只到 4.21.0 有弱點 ( cpe:2.3:a:ckeditor:ckeditor:4.21.0:*:*:*:*:*:*:* )

CKeditor 5 到 v27.0.1 有弱點 ( cpe:2.3:a:ckeditor:ckeditor5:27.1.0:*:*:*:*:*:*:* )

用 cpe:2.3:a:ckeditor:ckeditor5 搜尋方便點

********************************************************************************
ICSharpCode.SharpZipLib 1.0.0.999

1.0.0 為 2018/8/19 釋出,最新 1.3.2 於2021年5月釋出。
<cpe-23:cpe23-item name="cpe:2.3:a:sharpziplib_project:sharpziplib:1.0.0:-:*:*:*:*:*:*"/>

NVD 搜尋 SharpZipLib 1.0.0
有收錄,沒有弱點。

********************************************************************************
NPOI 1.2.5.0

1.2.5.0 為 2012/7/29 釋出,最新 2.5.4 為 2021-08-25。
NVD 直接搜尋 NPOI 1.2.5.0 找不到。
NVD 下載 Dictionary 直接搜尋 t.me 找不到,應該沒收錄。
********************************************************************************
Mime-Detective 0.0.6.0
0.0.6.0 是 2018/1/3 ~ 2018/11/24,不是 alpha 就是 beta,沒有正式版。
最新為 22.7.16 版,為 2021年7月釋出。

NVD 下載 Dictionary 直接搜尋 Mime-Detective 找不到,應該沒收錄。
********************************************************************************
生命週期

[研究] 軟體生命週期 End of Life (EOL)、LifeCycle

[研究]Microsoft .NET Framework 產品生命週期

Visual Studio 產品生命週期和服務 - Visual Studio 服務未涵蓋的元件
2021-08-10

.NET Core 2.1 (LTS) 生命週期到 2021年8月21日 為止

[研究] Oracle Database 生命週期結束時間與弱點、風險

********************************************************************************
DevExpress AJAX Control Toolkit 
2023-06-13
Microsoft AJAX Control Toolkit 和 DevExpress AJAX Control Toolkit 是不同的
CPE:  cpe:2.3:a:devexpress:ajax_control_toolkit
NVD只有收錄15.0版,只有一個 1 Medium
官方網站
目前最新20.1.0版

Microsoft AJAX Control Toolkit 於 NVD 沒有收錄
cpe:2.3:a:Microsoft:ajax_control_toolkit

Ajax Control Toolkit 4.1.60623 (.NET Framework 3.5) 2012/6/25 釋出
NuGet Ajax Control Toolkit 最新 20.1.0 (2020/6/9)
專案 (已經不存在)
改到

Oracle Mojarra Javaserver Faces 2.2.0
cpe:2.3:a:oracle:mojarra_javaserver_faces:2.2.0:-:*:*:*:*:*:*
https://nvd.nist.gov/products/cpe/detail/DE1B638B-1376-411D-81F4-B129982AF639?namingFormat=2.3&orderBy=CPEURI&keyword=Oracle+Mojarra+Javaserver+Faces+2.2.0&status=FINAL

********************************************************************************
Java JRE 8 Update 202

cpe:2.3:a:oracle:jre:1.8.0:update202:*:*:*:*:*:*


********************************************************************************
********************************************************************************

(完)

相關

[研究]Maven Repository - Java 元件資料庫 (有元件版本弱點列表)


沒有留言:

張貼留言