CNNVD漏洞内容描述规范
作者:CNNVD  时间:2015年10月10日



一、 描述定义
       漏洞内容描述是指通过文字描述的方式把该漏洞产生的原因、存在的位置、受影响范围、漏洞宿主介绍等按照统一的格式进行描述。
二、 描述原则
      1) 简明易懂性:简明、清晰、易懂的对漏洞进行描述。
       2) 真实性:真实、客观的对该漏洞进行描述。
       3) 透明性:避免暴露过多的漏洞技术细节
三、 适用范围
       凡是被CNNVD漏洞库收录的漏洞,均适用此编码语法规范,包括采集的公开漏洞以及收录的未公开漏洞。
四、 漏洞内容描述办法
       漏洞内容描述包括“受影响实体”和“漏洞内容”两个部分,规则如下:
                           受影响实体介绍 + 漏洞内容描述
       1) 受影响实体介绍
       受影响实体介绍是指在描述漏洞信息之前,先要简述存在该漏洞的软件或产品的基本信息(如:该实体的所属、定义、功能等);
       1. 格式规则
       受影响实体名称+公司+受影响实体定义+功能概述
       2. 格式内容
       XXX实体是XXX国家XXX(英文)公司的一款(量词) XXX产品(软件、解决方案、系统、工具等)。该产品具有XXX的功能(适用范围、作用等)。
       2) 漏洞内容描述
       漏洞内容描述是指简述该漏洞的类型、产生原因、漏洞的攻击方式及产生的影响等。
       1. 格式规则
       存在位置+产生的原因+利用方式+造成危害
       2. 格式内容
       存在的位置:漏洞存在于软件、模块、程序和函数中的位置;
       产生的原因:造成漏洞的原因;
       利用方式:攻击者以什么方式利用漏洞;
       造成的危害:漏洞可能给系统、用户软件造成的影响。
       3) 漏洞内容描述举例
       以Microsoft Exchange Server Outlook Web App 跨站脚本漏洞      (CNNVD-201503-274)为例:
       〖受影响实体名称〗Microsoft Exchange Server是〖公司〗美国微软(Microsoft)公司的〖受影响实体定义〗一套电子邮件服务程序。〖功能概述〗它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Outlook Web App(OWA)是其中的一个用于访问Exchange邮箱的Web浏览器版本。
       〖漏洞存在位置〗Microsoft Exchange Server中存在跨站脚本漏洞,〖漏洞产生的原因〗该漏洞源于程序无法正确整理OWA中的页面内容。〖漏洞利用方式〗通过修改OWA中的属性,然后诱使用户浏览目标OWA站点,〖漏洞造成危害〗攻击者可在当前用户的上下文中运行脚本。以下产品及版本受到影响:Microsoft Exchange Server 2013 SP1,Cumulative Update 7。
       以Gnupg2 信息泄露漏洞(CNNVD-201503-085)为例:
      〖受影响实体名称〗Gnupg2(GNU Privacy Guard)是〖公司〗GNU计划开发的〖受影响实体定义〗一套开源的加密软件,采用GNU通用公共许可证。〖功能概述〗该软件支持公钥、对称加密、散列等算法。
      〖漏洞存在位置〗Gnupg2中存在信息泄露漏洞。〖漏洞造成危害〗远程攻击者可利用该漏洞获取敏感信息的访问权限。



漏洞信息快速查询