国内也组建了自己的CVE 组织——CNCVE,可能会导

作者: 编程  发布:2019-11-07

这个漏洞(CVE-2018-1000656)四天前(8月20号)被发布在NVD(National Vulnerability Database,国家漏洞数据库)上,漏洞描述如下:


利用Ossim系统进行主机漏洞扫描

The Pallets Project flask version Before 0.12.3 contains a CWE-20: Improper Input Validation vulnerability in flask that can result in Large amount of memory usage possibly leading to denial of service. This attack appear to be exploitable via Attacker provides JSON data in incorrect encoding. This vulnerability appears to have been fixed in 0.12.3.

title: 漏洞扫描基本概念
date: 2016-06-15 10:30
tags: Kali渗透测试 漏洞扫描

企业中查找漏洞要付出很大的努力,不能简单的在服务器上安装一个漏洞扫描软件那么简单,那样起不了多大作用。这并不是因为企业中拥有大量服务器和主机设备,这些服务器和设备又通不同速率的网络互联,只是我们在期望的时间内无法获得所需的覆盖范围,目前许多欧美的国际安全组织都按照自己分类准则建立了各自的数据库其中主流是CVE和,XForce。他的好处是,当网络出现安全事故,入侵检测系统(IDS)产生警报时,像CVE这类标准的系统脆弱性数据库网络安全工作就显得极为重要!,目前在中国国家计算机网络应急处理协调中心(CNCERT/CC)领导下,国内也组建了自己的CVE 组织——CNCVE,CNCVE 的组建目的就是建设一个具有中国特色的,能为国内广大用户服务的CVE 组织。但是并不是说拥有了CVE就囊括了所有漏洞问题,除了这些开放的脆弱性数据库外,还应该存在大量的没有对公众开放的脆弱性数据库。有的可能大家根本就不知道这些脆弱性数据库的存在。

大致的翻译如下:


1.CVE

Pallets项目组开发的Flask 0.12.3及以下版本包含CWE-20类型的漏洞:不合适的输入验证漏洞。这个漏洞将会导致大量内存占用,可能会导致拒绝服务。攻击者可以通过提供使用了错误编码的JSON数据来进行攻击。这个漏洞已经在0.12.3版本中修复(#2691)。

通过之前的扫描我们可以知道目标主机的一些基本信息,然后我们可以基于这些个基本信息去进一步的发现目标是否存在漏洞,当然这种方式虽然可行,但是效率太低。

CVE (Common Vulnerabilities and Exposures)是由美国国土安全部门(US Department

应对措施

对于这个漏洞,你可以通过升级来进行防范。如果你打算使用最新版本(Flask 1.0.2),可以使用下面的命令更新(参见这篇文章了解Flask 1.0版本包含哪些主要变化):

$ pip install -U flask

如果你使用Pipenv,则可以使用下面的命令:

$ pipenv update flask

如果你还没有准备好使用最新版本,可以升级到0.12.3版本:

$ pip install flask==0.12.3

然后更新requirements.txt:

flask ~> 0.12.3

如果使用Pipenv,则使用下面的命令:

$ pipenv install flask==0.12.3

对于这方面,kali的提供了一个漏洞集成网站:https://www.exploit-db.com/

Of Homeland Security,简称DHS)成立,由非盈利组织MITRE 公司管理和维护至今。

附注

  • NVD是美国政府收集网络安全漏洞的网站,详情见National Vulnerability Database;
  • CWE(Common Weakness Enumeration,常见缺陷枚举)是漏洞分类标准,由美国非营利组织MITRE维护,详情见Common Weakness Enumeration。
  • CVE(The Common Vulnerabilities and Exposures,一般漏洞及暴露)是一个漏洞数据库,由美国非营利组织MITRE维护,详情见Common Vulnerabilities and Exposures (CVE)。

Vulnerability(漏洞,脆弱性)这个词汇可以有狭义和广义多种解释。比如说:finger

searchsploit

同时kali系统也集成了searchsploit命令,该命令可以查询到eploit-db网站中所有的漏洞信息。

➜  ~ searchsploit tomcat
--------------------------------------------- ----------------------------------
 Exploit Title                               |  Path
                                             | (/usr/share/exploitdb/platforms)
--------------------------------------------- ----------------------------------
Apache Tomcat < 5.5.17 - Remote Directory Li | ./multiple/remote/2061.txt

由此也可以知道searchsploit的文档库的位置为:/usr/share/exploit/platforms

然后我们只需要对其中的脚本只进行简单的修改就可以加以利用了。


服务,可能为入侵者提供很多有用的资料,但是该服务本身有时是业务必须的,而且不能

Sandi

9159.com ,Sandi将会以图形化的界面对exploit-db库中结果进行显示。


说该服务本身有安全问题。

0x01 漏洞基本概念


CVE标准命名

CVSS(Common Vulnerability Scoring System)

CVSS是通用的漏洞评分系统,它是工业标准,用于描述安全漏洞严重程度的统一评分方案。

CVSS使用Metric对弱电进行了分类:

  • Basic Metric 基础的恒定不变的弱点权重
  • Temporal Metric 依赖时间因素的弱点权重
  • Enviromental Metric 利用弱点的环境要求和实施难度的权重

CVSS是安全内容自动化协议(SCAP)的一部分。通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。

CVSS的评分范围是:0-10。10是最高等级,不同机构按CVSS分值定义威胁的中,高,低威胁级别,CVSS是工业标准,但是威胁等级级别不是。


为方便独立的脆弱性数据库和不同安全工具彼此之间能够更好地共享数据,如下图脆弱性数据库所示。CVE 的标准命名方式是由“CVE”、时间和编号共同组成。例如,命名为“CVE-2008-6021”的条目表示2008 年第6021 号脆弱性。

CVE(Common Vulnerabilities and Exposures)

CVE是已公开的信息安全漏洞字典,同时也是统一的漏洞编号标准。
因为CVE的存在,使得漏洞的世界秩序变得清晰可辨。

当发现一个漏洞后,CAN负责指定CVE ID,然后发布到CVE LIst中:CVE-2008-4250,然后MITRE公司负责对内容进行编辑维护。

同时有的厂商也会有自己的CVE标准,比如微软的MS漏洞编号,MSKB为补丁编号。不同组织不同机构也许会有不同的CVE标准。


9159.com 1

OVAL(Open Vulnerability and Assessment Language)

描述漏洞检测方法的机器可识别语言。会以xml的格式进行发布。它是一个技术性的描述。它详细的描述了漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作。


CVE 的内容是CVE 编辑委员会的合作努力的成果。这个委员会的成员来自于许多安全相关的组织,如软件开发商、大学研究机构、政府组织和一些优秀的安全专家等,而且CVE 可以免费阅读和下载。

CEE

描述软件配置缺陷的一种标准格式。
在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作。


9159.com 2

CPE(Common Product Enumeration)

信息技术产品,系统,软件包的结构化命名规范,分类命名标准。


图 CVE 脆弱性数据库

CWE(Common Weakness Enumeration)

常见漏洞类型的字典,描述不同类型漏洞的特征,不同于OVAL,CWE只是一个大体上的分类而已,不会去具体的打分(访问控制,信息泄露,拒绝服务)。


2.OSVDB

SCAP(Security Content Automation Protocol)

SCAP是一个集合了多种安全标准的框架,它共有六个子元素:CVE,OVAL,CCE,CPE,CVSS,XCCDF。其目的是以标准的方法展示和操作安全数据。有NIST负责维护。

框架是个很有效率的东西,美国人民很擅长做框架的东西,因为一般只要完成了框架里所要求的事情,基本上就很规范了。所以,SCAP是当前美国比较成熟的一套信息安全评估标准体系,其标准化,自动化的思想对信息安全行业产生了深远的影响。

SCAP主要解决三个问题:

  • 实现高层政策法规等到底层实施的落地。
  • 将信息安全所涉及的各个要素标准化。
  • 将复杂的系统配置核查工作自动化。

由于SCAP太完美,太细致啦,所以太复杂了,目前这个星球上完全安装按照SCAP标准去干的,只有NVD(National Vulnerabiliy Database:美国国家漏洞管理标准数据)一家。

NVD:https://nvd.nist.gov/

nvd的CheckList是很好用的。

OSVDB (Open Source Vulnerability Database) 是由一个社团组织创立并维护的独立开源的数据库。它最早是在2002 年的Black Hat 和Defcon 安全会议上提出的一项服务,它提供了一个独立于开发商的脆弱性数据库实现方案。和CVE一样OSVDB 数据库也是开源并且免费的。它由安全事业爱好者来维护,向个人和商业团体免费开放。两者的差异在于CVE提供标准名称,可以通俗理解为数据字典,而OSVDB 为每一条脆弱性提供了详尽的信息,OSVDB需要参考CVE的名称。

3.BugTraq

BugTraq [3]是由Security Focus 管理的Internet 邮件列表,现在已被赛门铁克公司收购。在电脑安全世界,BugTraq 相当于最权威的专业杂志。大多数安全技术人员订阅Bugtraq,因为这里可以抢先获得关于软件、系统漏洞和缺陷的信息,还可以学到修补漏洞和防御反击的招数。

接下来我们看看通过ossim系统中的Openvas来扫描系统漏洞的例子,工作界面截图所下图所示

9159.com 39159.com 4

9159.com 5

本文出自 “李晨光原创技术博客” 博客,请务必保留此出处

本文由9159.com发布于编程,转载请注明出处:国内也组建了自己的CVE 组织——CNCVE,可能会导

关键词:

上一篇:没有了
下一篇:没有了