これらのCPEファイルフィールドの正確な意味は何ですか？

Question

これをダウンロードして解析する必要があるアプリケーションの開発に取り組んでいます[〜＃〜] cpe [〜＃〜]ファイル定義：- http://static.nvd.nist.gov/feeds/xml/cpe/dictionary/official-cpe-dictionary_v2.3.xml

私の問題は次のとおりです。

（XMLファイルの）エントリに、次のようなものが見つかりました。

<vuln:vulnerable-configuration id="http://nvd.nist.gov/"> <cpe-lang:logical-test negate="false" operator="OR"> <cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.10"/> <cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.12"/> <cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.24"/> <cpe-lang:fact-ref name="cpe:/a:Apache:Tomcat:4.1.3:beta"/> .......................................... .......................................... .......................................... <cpe-lang:fact-ref name="cpe:/a:Apache_software_foundation:Tomcat:5.3"/> <cpe-lang:fact-ref name="cpe:/a:Apache_software_foundation:Tomcat:5.4"/> <cpe-lang:fact-ref name="cpe:/a:Apache_software_foundation:Tomcat:5.5"/> </cpe-lang:logical-test> </vuln:vulnerable-configuration> <vuln:vulnerable-software-list> <vuln:product>cpe:/a:Apache_software_foundation:Tomcat:4.1.34</vuln:product> <vuln:product>cpe:/a:Apache:Tomcat:5.5.21</vuln:product> <vuln:product>cpe:/a:Apache_software_foundation:Tomcat:4.1.37</vuln:product> <vuln:product>cpe:/a:Apache_software_foundation:Tomcat:4.1.32</vuln:product> ..................................... ..................................... ..................................... <vuln:product>cpe:/a:Apache:Tomcat:5.5.22</vuln:product> <vuln:product>cpe:/a:Apache:Tomcat:4.1.36</vuln:product> <vuln:product>cpe:/a:Apache:Tomcat:5.5.25</vuln:product> <vuln:product>cpe:/a:Apache:Tomcat:5.5.1</vuln:product> </vuln:vulnerable-software-list>

ご覧のとおり、2つの異なるコレクションがあります。最初のコレクションはタグのコンテンツによって表され、2番目のコレクションはタグのコンテンツによって表されます

これらのコレクションは正確に何を表し、それらの違いは何ですか？

Tnx

Sacx · Accepted Answer

cpe-langは、脆弱な製品の他の依存関係があるかどうかを示します。 NVD CVEを確認すると、一部の製品は一部の特定のプラットフォームでのみ脆弱であることがわかります。例えば

<cpe-lang:logical-test negate="false" operator="AND"> <cpe-lang:logical-test negate="false" operator="OR"> <cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::desktop"/> <cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::desktop_multiple_os"/> <cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::server"/> <cpe-lang:fact-ref name="cpe:/o:redhat:enterprise_linux:5.0::virtualization"/> <cpe-lang:fact-ref name="cpe:/o:redhat:Fedora_core:core_5.0"/> <cpe-lang:fact-ref name="cpe:/o:redhat:Fedora_core:core6"/> </cpe-lang:logical-test> <cpe-lang:logical-test negate="false" operator="OR"> <cpe-lang:fact-ref name="cpe:/a:xen:qemu"/> </cpe-lang:logical-test> </cpe-lang:logical-test> <vuln:vulnerable-software-list> <vuln:product>cpe:/a:xen:qemu</vuln:product> </vuln:vulnerable-software-list>

それはどういう意味ですか？ xen：qemuは、redhat：enterprise_linux :: *およびFedora core *でのみ脆弱です。したがって、このxmlを解析してvuln：productのみを取得すると、一部の製品では不正確になります。

cpelanは-CPE言語照合アルゴリズムの略で、NISTによって作成されました。ここにあなたはより多くの情報を見つけるでしょう： https://cpe.mitre.org/specification/