CVEはプログラミング言語ごとに集約されていますか?
プログラミング言語でCVEデータベースを検索する方法はありますか?
例えば、私は CVE-2015-4852 を脆弱性のscopeとしてJava固有の脆弱性と見なしますそれは commons-collections Javaプログラミング言語ライブラリ、一方 CVE-2016-4009 はPythonで書かれたプログラムに影響を与えるCの脆弱性です。
CVEは、何らかの方法で対象とする基本的なプログラミング言語によってインデックスが付けられていますか?それぞれを調べること以外に検索する方法はありますか?
OWASP Dependency Check 、これは [〜#〜] jee [〜#〜] 用に最初に作成されました=アプリはコンポーネントをスキャンします(たとえば、framework-default、contrib、third- CVEレベルの脆弱性、および最近追加されたC/C++、Java、.NET、PHP、Python、Node.js、およびRubyコンポーネント)のサポート。人気のあるJava ones(eg、maven)や [〜#〜] ci [〜#〜] ポータル Jenkins などのビルド環境=。
Dependency Track と呼ばれるOWASP依存関係チェック用のWebフロントエンドもあります。これらはすべて、広範なOWASPセキュリティコミュニティから入手できる無料のオープンソースソフトウェア(FOSS)ソリューションです。
Linuxのgrepコマンドを使用した非常に非正統的なmetasploit-framework検索もここにあり、このメソッドを使用してすべてのJava関連のCVEを検索できることを示しています。
$ msfconsole -qx "search cve:CVE; exit" | grep -i Java | grep -vi javascript
auxiliary/server/jsse_skiptls_mitm_proxy 2015-01-20 normal Java Secure Socket Extension (JSSE) SKIP-TLS MITM Proxy
exploit/linux/misc/jenkins_Java_deserialize 2015-11-18 excellent Jenkins CLI RMI Java Deserialization Vulnerability
exploit/multi/browser/Java_atomicreferencearray 2012-02-14 excellent Java AtomicReferenceArray Type Violation Vulnerability
exploit/multi/browser/Java_calendar_deserialize 2008-12-03 excellent Sun Java Calendar Deserialization Privilege Escalation
exploit/multi/browser/Java_getsoundbank_bof 2009-11-04 great Sun Java JRE getSoundbank file:// URI Buffer Overflow
exploit/multi/browser/Java_jre17_driver_manager 2013-01-10 excellent Java Applet Driver Manager Privileged toString() Remote Code Execution
exploit/multi/browser/Java_jre17_exec 2012-08-26 excellent Java 7 Applet Remote Code Execution
exploit/multi/browser/Java_jre17_glassfish_averagerangestatisticimpl 2012-10-16 excellent Java Applet AverageRangeStatisticImpl Remote Code Execution
exploit/multi/browser/Java_jre17_jaxws 2012-10-16 excellent Java Applet JAX-WS Remote Code Execution
exploit/multi/browser/Java_jre17_jmxbean 2013-01-10 excellent Java Applet JMX Remote Code Execution
exploit/multi/browser/Java_jre17_jmxbean_2 2013-01-19 excellent Java Applet JMX Remote Code Execution
exploit/multi/browser/Java_jre17_method_handle 2012-10-16 excellent Java Applet Method Handle Remote Code Execution
exploit/multi/browser/Java_jre17_provider_skeleton 2013-06-18 great Java Applet ProviderSkeleton Insecure Invoke Method
exploit/multi/browser/Java_jre17_reflection_types 2013-01-10 excellent Java Applet Reflection Type Confusion Remote Code Execution
exploit/multi/browser/Java_rhino 2011-10-18 excellent Java Applet Rhino Script Engine Remote Code Execution
exploit/multi/browser/Java_rmi_connection_impl 2010-03-31 excellent Java RMIConnectionImpl Deserialization Privilege Escalation
exploit/multi/browser/Java_setdifficm_bof 2009-11-04 great Sun Java JRE AWT setDiffICM Buffer Overflow
exploit/multi/browser/Java_storeimagearray 2013-08-12 great Java storeImageArray() Invalid Array Indexing Vulnerability
exploit/multi/browser/Java_trusted_chain 2010-03-31 excellent Java Statement.invoke() Trusted Method Chain Privilege Escalation
exploit/multi/browser/Java_verifier_field_access 2012-06-06 excellent Java Applet Field Bytecode Verifier Cache Remote Code Execution
exploit/multi/browser/mozilla_navigatorjava 2006-07-25 normal Mozilla Suite/Firefox Navigator Object Code Execution
exploit/multi/browser/qtjava_pointer 2007-04-23 excellent Apple QTJava toQTPointer() Arbitrary Memory Access
exploit/multi/elasticsearch/script_mvel_rce 2013-12-09 excellent ElasticSearch Dynamic Script Arbitrary Java Execution
exploit/multi/http/jboss_deploymentfilerepository 2010-04-26 excellent JBoss Java Class DeploymentFileRepository WAR Deployment
exploit/multi/http/Sun_jsws_dav_options 2010-01-20 great Sun Java System Web Server WebDAV OPTIONS Buffer Overflow
exploit/multi/misc/Java_jmx_server 2013-05-22 excellent Java JMX Server Insecure Configuration Java Code Execution
exploit/windows/browser/Java_basicservice_impl 2010-10-12 excellent Sun Java Web Start BasicServiceImpl Code Execution
exploit/windows/browser/Java_cmm 2013-03-01 normal Java CMM Remote Code Execution
exploit/windows/browser/Java_codebase_trust 2011-02-15 excellent Sun Java Applet2ClassLoader Remote Code Execution
exploit/windows/browser/Java_docbase_bof 2010-10-12 great Sun Java Runtime New Plugin docbase Buffer Overflow
exploit/windows/browser/Java_mixer_sequencer 2010-03-30 great Java MixerSequencer Object GM_Song Structure Handling Vulnerability
exploit/windows/browser/Java_ws_arginject_altjvm 2010-04-09 excellent Sun Java Web Start Plugin Command Line Argument Injection
exploit/windows/browser/Java_ws_double_quote 2012-10-16 excellent Sun Java Web Start Double Quote Injection
exploit/windows/browser/Java_ws_vmargs 2012-02-14 excellent Sun Java Web Start Plugin Command Line Argument Injection
exploit/windows/http/hp_nnm_webappmon_ovjavalocale 2010-08-03 great HP NNM CGI webappmon.exe OvJavaLocale Buffer Overflow
Core Securityのエンジンなどの別の悪用フレームワーク検索エンジンを使用して、同様の広範な検索を実行することもできます https://www.coresecurity.com/products/core-impact/recent-exploits -and-updates?title = Java&field_exploit_type_tid = All&field_vulnerabilty_id_value = CVE&field_operating_system_tid = All -または、Immunity Securityからのもの- http://exploitlist.immunityinc.com/home/exploitpack/CANVAS/browse
これは正確にはあなたが求めているものではありませんが、ここにキーワードで検索するオプションがあります。 「Java」で検索できます
おそらくあなたが探しているのは、アプリケーションプログラミングインターフェース(API)です。次のことを確認してください。
- circle.l cve-search API
- nvd.nist.gov データフィード
- vFeed GitHubで
- cve-search GitHubで
このAPIとプロジェクトから始めるのがよいでしょう。基本的に、どのプログラミング言語からでもAPIと通信できます。これにより、提案したようにカスタム検索を作成できます。