Log4jの脆弱性の件で、CVE-2021-44228 のCVE
とは何か知らなかったので調べた
こちらの記事が参考になった qiita.com
CVE (Common Vulnerabilities and Exposures)は共通脆弱性識別子のことで、脆弱性情報を一意に管理するためのIDをリスト化したもの
MITRE(マイター)という情報セキュリティを専門とする政府系研究開発センターを運営する非営利組織がCVE に登録する
CVEにされた情報はここで確認できる
あくまで識別することが目的なので、対策などは記載されていない
NVD
CVEに対する対策などの情報は、NIST(National Institute of Standards and Technology: アメリカ国立標準技術研究所) が管理するNVD(National Vulnerability Database)に登録されているとのこと
例えば、以下のような情報を提供している
- CVEのステータス
- CVE の説明と URL
- CVEの影響度(CVSS)
CVSS
CVSS (Common Vulnerability Scoring System) は共通脆弱性評価システムのことで、脆弱性の深刻度を表す指標
以下となっている
ちなみにCVE-2021-44228
は10.0 CRITICAL