Aperçu : Vérification des CVE (Common Vulnerabilities and Exposures)

9.2.12 Disponible à partir de la version 9.2.12. Le catalogue des logiciels contient des informations sur les CVE (Common Vulnerabilities and Exposures). Parcourez le catalogue des logiciels afin de rechercher d'éventuelles menaces. La vérification des CVE dans BigFix Inventory est une fonction de prévisualisation.

Pourquoi et quand exécuter cette tâche

La CVE (Common Vulnerabilities and Exposures) est une liste de menaces de sécurité connues auxquelles des numéros d'identification ont été attribués. BigFix Inventory utilise la CVE fournie par la base de données de vulnérabilité nationale à l'adresse https://nvd.nist.gov/ pour vous aider à identifier les menaces potentielles dans votre environnement.

Ordre des CVE

Les menaces potentielles sont affichées dans la colonne Risque de vulnérabilité (prévisualisation). En cas de concordance, les CVE sont triés par ordre décroissant selon le score de base, puis l'identificateur CVE. Ils ne sont pas classés par gravité. Le score de base et la gravité sont assignés selon le système de score CVSS (Common Vulnerability Scoring System). Lorsque CVSS v3.0 est disponible, il est prioritaire sur CVSS v2.0.

Détails sur les CVE

Lorsque vous cliquez sur l'icône Afficher les détails icône Afficher les détails en regard du numéro d'identification de la CVE, vous voyez les détails des CVE pertinents, tels que leur nom, leur gravité et leur CVSS. Si plusieurs CVE correspondent à un composant particulier, vous pouvez les afficher dans la liste détaillée. Vous pouvez exporter la vue Rapport au format CSV ou PDF pour un traitement supplémentaire. Le rapport exporté contient une liste complète des noms des CVE pertinents.

Limitations

  • La description de CVE peut ne pas toujours représenter des informations précises sur les versions vulnérables. Par conséquent, malgré la mise à niveau du correctif et la référence à la version détaillée du composant BigFix Inventory, la CVE peut être répertoriée. Reportez-vous à la description de CVE la plus récente dans la base de données Vulnérabilité nationale.

    Exemple : CVE-2015-1728, Windows Media Player et toutes les versions 12.x sont affectées. Aucun correctif n'est disponible pour les versions 12.x. Par conséquent, 12.x est répertorié sous la CVE dans BigFix Inventory.

  • Pour de meilleurs résultats, mettez à jour le flux NVD. Pour en savoir plus sur la mise à jour de la CVE, voir Mise à jour des informations sur les CVE (Common Vulnerabilities and Exposures).
  • BigFix Inventory fournit des rapports sur la version détaillée du composant (niveau du correctif/groupe de correctifs) pour les composants logiciels sélectionnés. Dans ce cas, le flux NVD fournit des informations correctes sur les versions liées au problème, mais la CVE répertorie toujours les versions dans BigFix Inventory en tant que reconnaissance générique.
  • Les CVE répertoriées dans la base de données de vulnérabilité nationale peuvent avoir un impact sur un logiciel installé uniquement sur un système d'exploitation spécifique. BigFix Inventory ne prend pas en compte ce fait lors de la mise en correspondance des CVE et des composants.
  • Si le nom d'un composant ou de son éditeur est différent dans BigFix Inventory et dans la base de données de vulnérabilité nationale, les CVE risquent de ne pas correspondre BigFix Inventory.
  • Si la version détaillée du composant est très différente de sa version, les CVE risquent de ne pas correspondre dans BigFix Inventory.
  • 9.2.14 Les alias suivants ont été ajoutés pour améliorer la génération de CPé et la concordance de vulnérabilité :
    • Alias Red Hat pour l'éditeur Red Hat.
    • Alias Apache pour l'éditeur Apache Software Foundation.

Procédure

Connectez-vous à BigFix Inventory et ouvrez l'un des rapports suivants.

  • 9.2.13 Accédez à Rapports > Classification des logiciels. Pour afficher la colonne Risque de vulnérabilité (prévisualisation), cliquez sur l'icône Gérer la vue de rapport icône Gérer la vue de rapport, puis cliquez sur Configurer la vue et sélectionnez la colonne Risque de vulnérabilité (prévisualisation) pour l'afficher sur le rapport.

    Les CVE de ce rapport sont mises en correspondance avec le composant logiciel spécifique via sa version détaillée.
    Rapport comportant des informations sur les CVE

  • Accédez à Rapports > Composants logiciels. Les CVE sont affichées dans la colonne Risque de vulnérabilité (prévisualisation).

    Le rapport répertorie les composants d'une version particulière. Toutefois, les CVE qui correspondent sont associés aux versions et à leurs correctifs.
    Rapport comportant des informations sur les CVE
Remarque : 9.2.13 Vous pouvez filtrer et trier les deux rapports par noms CVE.
  • Pour afficher les composants pour lesquels une vulnérabilité était associée, spécifiez le filtre suivant : Vulnerability Risk (Preview), is not empty.
  • Pour afficher les composants pour lesquels une vulnérabilité spécifique était associée, spécifiez le filtre suivant : Vulnerability: CVE Name, contains et fournissez le nom de la CVE.
Pour de meilleures performances, associez ces deux filtres chaque fois que vous souhaitez rechercher des composants pour lesquels une vulnérabilité spécifique a été mise en évidence.