CVE の調べ方メモ

2023-01-20

はじめに

CVE-20xx-xxxxx とかを見て「どう調べるんだっけ?」と毎回思っている気がするので、今後の自分のためにまとめておく。
ちなみに今回は Apache HTTP Server 2.4における複数の脆弱性に対するアップデート の詳細を調べていた。

脆弱性情報

大抵別の情報源から知るので CVE のページで検索する。
実際に検索するときは Search CVE List からやる。

CVE については IPA の解説ページが分かりやすかった。
共通脆弱性識別子CVE概説:IPA 独立行政法人 情報処理推進機構

深刻度

NATIONAL VULNERABILITY DATABASE (NIST: アメリカ国立標準技術研究所) で見れる。
NVD - Search and Statistics で調べることができる。

レーティングは以下の表のようになっている。

image.png

https://nvd.nist.gov/vuln-metrics/cvss