3.4. CVE 格式
摘要
与 CSAF 或 OVAL 不同,CVE 表示不是标准的。有关哪些字段可能存在的备注,它们的含义如下。
Name | 描述 | 其它信息 |
---|---|---|
ThreatSeverity | 漏洞的严重性。 | 如需更多信息,请参阅本文档。https://access.redhat.com/security/updates/classification |
PublicDate | 当此缺陷变得公开时。 | ISO 8601 格式。 |
Bugzilla | 红帽 Bugzilla 中错误的 ID、URL 和描述。 | |
CVSS | CVSSv2 分数和指标. | 'status' 属性可能的值为 'draft' 或 'verified',这表示在调查漏洞时如何进行。如需更多信息,请参阅本文档。https://access.redhat.com/security/updates/classification |
CVSS3 | CVSSv3 分数和指标. | 'status' 属性可能的值为 'draft' 或 'verified',这表示在调查漏洞时如何进行。如需更多信息,请参阅本文档。https://access.redhat.com/security/updates/classification |
CWE | 用于此缺陷的 CWE 链。 | 请参阅 mitre.org 描述以及我们 可能的 cwe 值列表。 |
详情 | 有关此漏洞的详细信息,可能来自红帽或 Mitre。 | |
声明 | 有关此问题的声明。 | |
参考 | 有关此问题的更多信息的链接。 | |
致谢 | 受认可的人员或组织。 | |
缓解方案 | 在没有更新的软件的情况下修复或减少问题的方法。 | |
AffectedRelease | 一个发布的 Erratum,用于修复特定产品的漏洞。 | 包含产品名称和 cp,以及 Erratum 链接、类型和发行日期。(可选)还包括描述 src.rpm 的名称和版本用来修复问题的"Package"信息(如果多个 src.rpms 位于同一 Erratum 中则不存在)。 |
PackageState | 有关软件包/产品的信息,还没有发布修复。 | 包含产品名称和 cp、软件包(src.rpm)名称和修复状态,这是 ['Affected','Fix deferred','New','Not affected',' will not fix'] 之一。 |
UpstreamFix | 修复程序的上游项目的版本。 |