Linux系统的CVE该如何确认？学会这个方法不用慌！

在维护过程中，应用系统免不了被客户做定期的漏扫，运维需要根据客户的扫描结果进行反馈是否涉及和是否能整改，本文主要针对Linux CVE漏洞进行一个基本的排查。

一、什么是CVE漏洞？

CVE 是 Common Vulnerabilities and Exposures 的缩写，意思是“常见漏洞披露”。它是一个由 Microsoft、Google 等公司发起的组织，目的是收集安全漏洞信息，并通过 GitHub 等网站向公众披露。CVE 的格式与 WISE 类似，也是一个字母和数字的列表，用于标识漏洞的严重级别和影响范围。

中国的 CVE 漏洞数据库是由中国信息安全测评中心（CNNVD）建设和维护的，该数据库收集和共享已知的安全漏洞信息，包括软件、硬件、网络和数据库等多个方面。

二、如何确认系统是否涉及CVE？

2.1 利用`rpm`命令确认

利用rpm的--changelog参数可以确定一些漏洞，前提是该软件包有关于这一方面的描述。

以openssh漏洞为例，可以通过以下命令进行确认（注意：写在里面的一定是修复了，没写在里面的不一定没修复或者不一定涉及，需要进一步确认）

[root@yunweisn ~]# rpm -q --changelog openssh | grep CVE
- fix CVE-2021-41617 (#2008884)
- Fix for CVE-2018-15473 (#1619079)
- Fix for CVE-2017-15906 (#1517226)
- CVE-2015-8325: privilege escalation via user's PAM environment and UseLogin=yes (#1329191)
- CVE-2016-1908: possible fallback from untrusted to trusted X11 forwarding (#1298741)
- CVE-2016-3115: missing sanitisation of input for X11 forwarding (#1317819)
- prevents CVE-2016-0777 and CVE-2016-0778
- Security fixes released with openssh-6.9 (CVE-2015-5352) (#1247864)
- only query each keyboard-interactive device once (CVE-2015-5600) (#1245971)
- add new option GSSAPIEnablek5users and disable using ~/.k5users by default CVE-2014-9278
- prevent a server from skipping SSHFP lookup - CVE-2014-2653 (#1081338)
- change default value of MaxStartups - CVE-2010-5107 (#908707)
- CVE-2010-4755
- fixed audit log injection problem (CVE-2007-3102)
- CVE-2006-5794 - properly detect failed key verify in monitor (#214641)
- CVE-2006-4924 - prevent DoS on deattack detector (#207957)
- CVE-2006-5051 - don't call cleanups from signal handler (#208459)
- use fork+exec instead of system in scp - CVE-2006-0225 (#168167)
[root@yunweisn ~]#

如果不知道是哪个软件包，可以使用-qa命令查询所有

rpm -qa --changelog | grep CVE

2.2 操作系统官网查询

各大操作系统基本都有自己的CVE库，以便用户自己的操作系统查询是否涉及该漏洞（部分国产系统的就……懂得都懂）

以红帽为例，其漏洞CVE列表地址为https://access.redhat.com/security/security-updates/#/cve，可以在该漏洞库中搜索CVE编号，以获取该漏洞的详细信息。

红帽将漏洞分为四个等级：

• low：低级别的
• Moderate：中等的
• Important：重要的
• Critical：紧急的

可以在该数据库中搜索CVE编号，以查看漏洞的详细信息。

以漏洞CVE-2022-2526为例，详细信息中包含了以下字段：

• 
  
• Description：漏洞的描述信息
• Statement：声明
• Additional Information：附加信息
• External References：外部参考信息
• Affected Packages and Issued Red Hat Security Errata：受影响的软件信息

• 
  
• Platform：平台
• Package：软件包
• State：状态

• 
  
• Fixed：已修复
• Not affected：不受影响

• Errata：红帽漏洞公告

• Common Vulnerability Scoring System (CVSS) Score Details：漏洞评分信息，包括红帽官方评分和NVD评分

2.3 软件的CVE数据库

有部分软件官网也会有关于CVE漏洞的信息。

三、关于漏洞答复

漏洞答复无非就是三种

• 误报，当前版本不涉及/已修复这个漏洞
• 漏洞存在，计划x月x日整改
• 遗留，开源社区没有修复（官方确认漏洞存在，但不打算修复这个问题，一般低级别的漏洞可能会存在这种情况）