FloristV5
CE
Hinweis 2024-09-17 Korrektur historischer CVE-Repository-Datensätze: CVE-Datensätze, die ursprünglich vor 2023 mit falschen Reservierungs-/Veröffentlichungs-/Aktualisierungsdaten veröffentlicht wurden, wurden korrigiert. Durch diese Aktion wurden etwa 27.000 Datensätze korrigiert, denen im Rahmen der Einführung von JSON 5.0 CVE-Datensätzen falsche Daten für „Reserviert“, „Veröffentlicht“ oder „Aktualisiert“ zugewiesen wurden.
Hinweis 2024-07-31 CVE-Datensätze können jetzt einen neuen Container namens CVE-Programmcontainer enthalten : Dieser neue Container enthält zusätzliche Informationen, die vom CVE-Programm hinzugefügt wurden, um vom Programm hinzugefügte Referenzen einzuschließen. Benutzer dieses Repositorys müssen möglicherweise zwei Container verarbeiten. Weitere Informationen finden Sie weiter unten.
Hinweis 08.05.2024, 17:30 Uhr : CVE REST Services wurden am 08.05.2024 um 17:30 Uhr EDT auf das CVE Record Format Schema 5.1 aktualisiert. Mit diesem Update kann ein CVE-Eintrag in diesem Repository nun entweder ein 5.0- oder ein 5.1-formatierter Datensatz sein. Das Format wird im Feld „Datenversion“ widergespiegelt. Benutzern dieses Repositorys, die CVE-Datensätze „validieren“, wird empfohlen, Datensätze mithilfe der entsprechenden Version des Schemas (z. B. 5.0 oder 5.1) zu validieren, wie in diesem Feld angegeben. Benutzer sollten das zu verwendende Schema nicht anhand des Bereitstellungsdatums des neuen Formats (z. B. 08.05.2024 um 17:30 Uhr EDT) bestimmen, da es Inkonsistenzen bei den veröffentlichten/aktualisierten Datumswerten gibt.
Dieses Repository ist die offizielle CVE-Liste. Es handelt sich um einen Katalog aller CVE-Datensätze, die vom CVE-Programm identifiziert oder diesem gemeldet wurden.
Dieses Repository hostet herunterladbare Dateien von CVE-Datensätzen im CVE-Datensatzformat (siehe Schema). Sie werden regelmäßig (etwa alle 7 Minuten) mithilfe der offiziellen CVE Services API aktualisiert. Sie können die in diesem Repository gehosteten Inhalte gemäß den Nutzungsbedingungen des CVE-Programms durchsuchen, herunterladen und verwenden.
Downloads in älteren Formaten werden nicht mehr unterstützt – Die gesamte Unterstützung für die alten CVE-Inhalts-Downloadformate (d. h. CSV, HTML, XML und CVRF) endete am 30. Juni 2024. Diese alten Downloadformate werden nicht mehr aktualisiert und wurden auslaufen in den ersten sechs Monaten des Jahres 2024 durch dieses Repository als einzige unterstützte Methode zum Herunterladen von CVE-Datensätzen ersetzt. Erfahren Sie hier mehr.
CVE-Datensätze können jetzt aus mehreren Containern bestehen:
Alle vom CVE-Programm hinzugefügten Verweise nach dem 31.07.2024 für einen CVE-Datensatz werden im CVE-Programmcontainer dieses Datensatzes gespeichert. Von CNA bereitgestellte Referenzen werden weiterhin im CNA-Container gespeichert.
Der CVE-Programmcontainer ist in einem ADP-Containerformat im CVE-Datensatz implementiert.
Spezifische JSON/CVE-Datensatzfelder, die im CVE-Programmcontainer enthalten sein werden, sind wie folgt:
Referenzen im CVE-Programmcontainer behalten dasselbe Format wie Referenzen in einem CNA-Container.
Der CVE-Programmcontainer kann Referenzen enthalten, die das Tag x_transferred haben. Referenzen mit diesem Tag wurden am 31.07.2024 aus dem CNA-Container gelesen. Dies ist eine „einmalige“ Kopie, um den „Stand“ der CNA-Referenzliste zum 31.07.2024 beizubehalten. Nach diesem Datum vom CVE-Programm hinzugefügte Verweise haben nicht das Tag „*x_transfered“.
Wenn nach dem 31.07.2024 neue CVE-Datensätze erstellt werden und keine vom Programm bereitgestellten angereicherten Daten hinzugefügt werden, ist dem CVE-Datensatz kein CVE-Programmcontainer zugeordnet.
Erforderliche Containerverarbeitung: Um alle Informationen zu einer gemeldeten Schwachstelle im CVE-Repository abzurufen, müssen Tool-Anbieter und Community-Benutzer nach dem 31.07.2024 den CVE-Record-CNA-Container und den CVE-Programmcontainer (falls vorhanden) untersuchen. Diese beiden Container sind mindestens erforderlich, um die für das Programm erforderlichen Kerninformationen zu erhalten. Alle anderen ADP-Container bleiben aus Programmsicht optional.
Potenzial für doppelte Referenzen Die Möglichkeit doppelter Referenzen entsteht dadurch, dass mehr als eine Organisation Referenzen an unterschiedlichen Standorten bereitstellt. Nachgeschaltete Benutzer müssen die geeignete Methode zum Beheben potenzieller Referenzduplikate zwischen dem CNA-Container und dem CVE-Programmcontainer ermitteln.
Der CISA-ADP-Container wurde am 4. Juni gestartet, um künftig und rückwirkend bis Februar 2024 Mehrwertinformationen für CVE Records bereitzustellen.
Das CISA ADP stellt drei Komponenten zur Bereicherung von CVE-Datensätzen bereit:
Eine vollständige Beschreibung der bereitgestellten Informationen und des Formats, in dem sie aufgezeichnet werden, finden Sie im CISA ADP-Prozess oder auf der Github-Website von CISA Vulnrichment.
Es gibt zwei Möglichkeiten, CVE-Datensätze aus diesem Repository herunterzuladen:
git Clients – dies ist der schnellste Weg, die CVE-Liste mit Tools, mit denen die meisten Entwickler vertraut sind, auf dem neuesten Stand zu halten. Weitere Informationen finden Sie im git Abschnitt unten Die Verwendung des git -Befehlszeilentools oder eines beliebigen Git-UI-Clients ist die einfachste Möglichkeit, über die CVE-Liste auf dem Laufenden zu bleiben. Klonen Sie zunächst dieses Repository: git clone [email protected]:CVEProject/cvelistV5.git . Nach dem Klonen git pull , wenn Sie die neuesten Updates benötigen, genau wie jedes andere GitHub-Repository.
Dieses Repository enthält Release-Versionen aller aktuellen CVE-Datensätze, die von der offiziellen CVE Services API generiert wurden. Alle Zeiten werden in der koordinierten Weltzeit (UTC) angegeben. Jede Version enthält eine Beschreibung der seit der letzten Version hinzugefügten oder aktualisierten CVEs sowie einen Abschnitt „Assets“ mit den Downloads. Beachten Sie, dass die ZIP-Dateien recht groß sind und daher einige Zeit zum Herunterladen benötigen.
Year-Month-Day_all_CVEs_at_midnight.zip (z. B. 2024-04-04_all_CVEs_at_midnight.zip ). Diese Datei bleibt 24 Stunden lang unverändert. Wenn Sie Ihre CVE-Liste täglich (oder seltener) mithilfe von ZIP-Dateien aktualisieren, ist dies die beste Option.Year-Month-Day _delta_CVEs_at_Hour 00Z.zip (z. B. 2024-04-04_delta_CVEs_at_0100Z.zip ). Dies ist nützlich, wenn Ihre CVE-Liste stündlich genau sein muss. Beachten Sie, dass diese Datei nur die Deltas seit der Baseline-ZIP-Datei enthält. Dem CVE-Programm sind derzeit die folgenden Probleme im Zusammenhang mit dem Herunterladen von CVE-Listen bekannt. Diese Probleme werden derzeit von der CVE Automation Working Group (AWG) behandelt. Aktualisierungen oder Lösungen werden hier vermerkt, sofern verfügbar.
Aktualisiert am 17.09.2024: Einige CVE-Datensätze, die vor 2023 veröffentlicht wurden, hatten ein falsches Veröffentlichungs-, Reservierungs- und Aktualisierungsdatum. Mit Stand vom 17.09.2024 wurde dies korrigiert.
Hinzugefügt am 17.09.2024: Es bestehen Diskrepanzen beim Veröffentlichungs- und Aktualisierungsdatum für CVE-Aufzeichnungen, die vom MITRE CNA-LR zwischen dem 8. Mai 2024 und dem 7. Juni 2024 veröffentlicht wurden (betroffen sind etwa 515 Datensätze).
Benutzer dieses Repositorys für CVE-Metriken (und andere publikations-/aktualisierungsdatensensitive Analysen) sollten sich dieses Problems bewusst sein. Eine Lösung wird in Kürze verfügbar sein.
Bitte verwenden Sie eines der folgenden:
Dieses Repository enthält CVE-Datensätze, die von CVE-Programmpartnern veröffentlicht wurden. Es werden keine Pull-Anfragen akzeptiert.
Sie können das Repository mit Git Clone klonen. Pull-Requests werden jedoch nicht akzeptiert.
Bitte verwenden Sie die CVE-Anfrage-Webformulare und wählen Sie „Andere“ aus der Dropdown-Liste aus.
