Soy consciente de que existe la lista CVE publicada por el NVD. ¿Existen otras listas de vulnerabilidades importantes que muestren vulnerabilidades distintas de las NVD?
Thx
Soy consciente de que existe la lista CVE publicada por el NVD. ¿Existen otras listas de vulnerabilidades importantes que muestren vulnerabilidades distintas de las NVD?
Thx
NVD cubre muchas vulnerabilidades. Aparte de los que también tienes:
A menudo están vinculados de nuevo a NVD CVE. Otro proyecto interesante a seguir es vFeed que proporciona enlaces cruzados entre proveedores y vulnerabilidades de CVE.
Tenga en cuenta que esto cubre las vulnerabilidades reveladas. Todavía hay muchas vulnerabilidades que podrían no revelarse.
Actualmente, el NVD solo se extrae de la base de datos de Mitre CVE, esto cambiará, pero por ahora, si Mitre no tiene una entrada escrita, no estará en la base de datos de NVD. En cuanto a Mitre, sé que nosotros (Red Hat) hemos asignado más de mil CVE que no están en la Base de datos de Mitre, e incluso algunos de los CVE que asigna Mitre (por ejemplo, en oss-security @ mailing list) no están en la base de datos después de semanas / meses, hay un gran atraso.
La buena noticia es que para Open Source, al menos el Proyecto DWF (Proyecto de archivo de debilidad distribuida enlace ) abordará esto y más.
Solo para complementar la respuesta de @ Kurt: así como él comentó acerca de [NIST] NVD (Base de datos de vulnerabilidad nacional), que es una base de datos de vulnerabilidad del repositorio del gobierno de EE. UU., otra base de datos de vulnerabilidad que proporciona MITRE Corp es "CVEDetails.com ".
Aparte de MITRE Corporation y otros recursos del gobierno, hay muchos otros que no conozco a todos, pero enumeraré los mejores que conozco:
El primero es IBM XForce Exchange 1 . Este es uno de los lugares donde puede hacer un seguimiento de las vulnerabilidades antes de que se publique en MITRE CVE. La otra fuente que no es tan rara como para filtrar algunos recibe información acerca de cuya vulnerabilidad es SecList 2 porque algunas personas que descubra la falla del software elige enviar un correo electrónico a Seclist antes de anunciarlo en cve.mitre.org ; se requiere una suscripción para recibir la alerta en su correo electrónico.
El otro es CXSecurity 3 y Seebug.org 4 , donde puede encontrar algunos exploits o sus escritos, la mayoría de ellos publicados antes que exploit-db.com 5
Las otras fuentes son:
Precaución: Si desea consumir cierta información de las bases de datos de vulnerabilidades mencionadas anteriormente, le recomiendo que lea sus términos de condiciones antes de usarla para evitar algunos problemas.
Lea otras preguntas en las etiquetas known-vulnerabilities cve