UGA Boxxx

つぶやきの延長のつもりで、知ったこと思ったこと書いてます

【セキュリティ】CVEとは

Log4j脆弱性の件で、CVE-2021-44228 のCVEとは何か知らなかったので調べた

こちらの記事が参考になった qiita.com

CVE (Common Vulnerabilities and Exposures)は共通脆弱性識別子のことで、脆弱性情報を一意に管理するためのIDをリスト化したもの

MITRE(マイター)という情報セキュリティを専門とする政府系研究開発センターを運営する非営利組織がCVE に登録する

CVEにされた情報はここで確認できる

cve.mitre.org

あくまで識別することが目的なので、対策などは記載されていない

NVD

CVEに対する対策などの情報は、NIST(National Institute of Standards and Technology: アメリカ国立標準技術研究所) が管理するNVD(National Vulnerability Database)に登録されているとのこと

https://nvd.nist.gov/

例えば、以下のような情報を提供している

  • CVEのステータス
  • CVE の説明と URL
  • CVEの影響度(CVSS)

CVSS

CVSS (Common Vulnerability Scoring System) は共通脆弱性評価システムのことで、脆弱性の深刻度を表す指標

以下となっている
f:id:uggds:20211216232721p:plain:w300

ちなみにCVE-2021-4422810.0 CRITICAL

f:id:uggds:20211216232856p:plain:w200

NVD - CVE-2021-44228

他参考

https://yamory.io/blog/what-is-cve/