转载:如何处理⼀个CVE漏洞
1.  CVE漏洞
CVE全称为Common Vulnerabilities and Exposures,公共漏洞和暴露,⼜称通⽤漏洞披露、常见漏洞与披露,是⼀个与信息安全有关的数据库,收集各种信息安全弱点及漏洞并给予编号以便于公众查阅。此数据库现由美国⾮营利组织MITRE所属的National Cybersecurity FFRDC所营运维护。
CVE对每⼀个漏洞都赋予⼀个专属的编号,格式为CVE-YYYY-NNNN。其中YYYY为年份,NNNN为CVE的编号,例如CVE-2020-11945。
便宜的近义词漏洞严重程度通常通过CVSS来衡量,CVSS是⼀个开放框架,⽤于传达软件漏洞的特征和严重性。CVSS由三个度量标准组组成:基础,时间和环境。基本指标产⽣的分数介于0到10之间,然后可以通过对时间和环境指标进⾏评分来进⾏修改。openEuler根据CVSS评分将漏洞严重程度分为四个等级:严重——9分以上,主要——7.0 – 8.9分,次要——4.0 – 6.9,不重要——0.1 – 3.9。
下图为处理CVE漏洞的流程:
分析影响
中国好声音歌曲列表
2.解决CVE漏洞
⼩技巧:
CVE信息可通过⽹络搜索CVE号获取更多信息,包括官⽹链接以及相关⽂档分析,例如相关组件上游社区、nvd等⽹站给出的信息。当然,查的资料越多,越有助于我们理解漏洞的攻击原理和主要影响。在漏洞描述中我们可以到漏洞影响组件版本,再对⽐openEuler上相关组件判断是否受影响。如受影响则需要提交PR合⼊修复补丁;不受影响在评论⾥说明即可,不需要合⼊PR。
1. 通过⽹络搜索CVE号,获取更多信息。
2. 分析影响
理解分析⼀下,该漏洞影响为:远程攻击者可以重播嗅探到的摘要⾝份验证随机数,以获取对原本禁⽌的资源的访问。这种情况是由于攻击者可能使随机数引⽤计数器溢出,如果释放了合并的令牌凭据,就会导致远程执⾏代码。nvd清楚地写明了该漏洞影响squid版本为5.0.2之前的版本。⽽openEuler社区版本为4.9,则该漏洞为受影响漏洞,需要提交PR修复。且该漏洞的评分为9.8分,为严重漏洞。
3. 提交PR
如果CVE影响版本,则需要提交修复补丁。提交修复补丁需要从上游社区获取补丁,可能需要进⾏代
码适配。提交补丁时需要注意PR描述信息中关联对应issue编号,修改spec⽂件中的release号和changelog信息。
不雅照片全集
⼩技巧:
关于感恩节的话
⼀般情况下,修复补丁链接会在相关分析⽂档中体现。
例如:squid的漏洞CVE-2020-11945,nvd在附加链接⾥已经附上了上游社区的补丁链接。
spec的修改参考截图:
ps:由于该包的spec的%prep阶段使⽤了%autosetup,因为⽆需在%prep阶段执⾏打补丁的操作,补丁就会⾃动被读取并打上。
是什么意思
关联PR,在PR描述中添加issue号,issue号位置参考截图
PR中关联issue号例⼦:
4. 合⼊PR
等待审核代码提交,合⼊PR或提出检视意见,如果有检视意见,需要修改后再次提交。在此期间,可
以通过评论的⽅式与社区⼈员进⾏沟通。
例如:
5. 关闭issue
中国人不要脸
如果你已经完成了上述步骤,就可以关闭issue了,感谢你为我们操作系统修复了⼀个安全漏洞,降低了攻击者⼊侵系统的概率。
关闭⽅法为评论/hdc-completed,随后会有专⼈审核你处理得是否正确。