Oracle安全公告和CVE标识符

在对Oracle安全咨询流程和重要补丁更新文档的重大更改中,现在使用CVE标识符代替Oracle专有编号方案(即DB01,AS01,APP01等)。  常见漏洞和披露(CVE) 是已发布的安全公告的标准化字典和标识符。 CVE的目的是为安全漏洞提供单个标识符,以便供应商,工具和组织都可以使用单个标识符引用同一漏洞。  The format of the CVE标识符 是(1)固定的"CVE"表示它是CVE标识符,(2)年份(即2008),以及(3)条目添加到CVE的顺序号(即2607)。 例如,第一个数据库漏洞是CVE-2008-2607。

以前的Oracle专有编号方案与CVE编号有关的几个问题-

  1. Oracle仅针对诸如Apache和OpenSSL之类的核心组件中的漏洞提供了到以前发布的漏洞的映射。 没有为以前公开的漏洞提供映射,因此在某些情况下,同一漏洞有两个CVE标识符。
  2. 通常以几乎任意的方式将单个CVE标识符分配给多个漏洞。 这意味着CVE标识符可能包括来自多个组件的漏洞,对于Oracle E-Business Suite,则可能跨越多个补丁。 对于Integrigy而言,这会导致我们的漏洞扫描工具AppSentry出现问题,因为在处理CVE,补丁和漏洞时,我们的报告必须处理多对多映射。
  3. CVE号通常在Oracle发布后的1-2天分配。

Oracle通报中的CVE标识符确实针对每个漏洞使用了一个CVE标识符,并直接映射到先前披露的漏洞(请参阅 CVE-2007-1359). 如果甲骨文在其中的任何一个咨询中都包含超链接,那会很好 CVE 要么 NVD 以便于访问。 看看是否有趣 CVE-2007-1359 在此CPU中已固定为CVE-2008-2589,CVE-2008-2594或CVE-2008-2609,这将降低使用CVE标识符的效率,并且如果先前使用的CVE标识符又会导致CVE中的漏洞重复未使用所披露的漏洞。

使用CVE标识符

有关漏洞的其他信息,请参见 CVE 或者 国家漏洞数据库(NVD) 由国土安全部赞助。 NVD包含最详细的信息,包括CVSS2分数的细分以及指向可能包含有关该漏洞的更多信息的外部引用的链接。 典型的过程是,仅参考原始Oracle通报创建通用NVD。 当公开披露了有关该漏洞的其他详细信息时,NVD条目将使用指向这些披露的链接进行更新。 由于大多数公开披露现在都将包括CVE标识符,因此该过程应该更加及时和准确。 通常,每季度大约30%的漏洞将包含其他信息,而数据库漏洞通常具有比其他产品更多的信息。

完全填充的条目的一个示例是ModSecurity 2.1.1中先前修复的ModSecurity漏洞-

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1359

具有其他详细信息的条目示例是Oracle AQ软件包SYS.DBMS_AQELM中的缓冲区溢出-

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-2607

 Share this post