Différents organismes officiels on non fournissent des informations sur les vulnérabilités et les attaques concernant les logiciels.
Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) diffuse des flux d’actualités sur les attaques et vulnérabilités informatiques :
- flux RSS de tous les derniers documents (alertes, avis, bulletins d’actualité, notes d’information)
- flux RSS des alertes en cours
Il permet aussi de télécharger l’ensemble des documents émis depuis l’existence du CERT-FR.
Mais ces documents sont en HTML non sémantique et il parait difficiles de retrouver dans tous les cas le ou les logiciels concernés (dans certain cas, le nom du logiciel est donné, dans d’autres cas, seulement la marque, etc).
La base des Common Vulnerabilities and Exposures (CVE) semble être la principale source internationale. Ses alertes sur les vulnérabilités sont notamment reprises par les distributions comme Debian.
La page National Vulnerability Data Feeds du National Institute os Standards and Technology (NIST) permet de récupérer l’ensemble de la base de données en XML et de recevoir des flux d’actualités XML.
Les données fournies sont structurées avec notamment une liste normalisée des logiciels et versions concernés par chaque faille. Exemple
<entry id="CVE-2015-1772">
<vuln:vulnerable-configuration id="http://www.nist.gov/">
<cpe-lang:logical-test operator="OR" negate="false">
<cpe-lang:fact-ref name="cpe:/a:ibm:infosphere_biginsights:3.0.0.2"/>
<cpe-lang:fact-ref name="cpe:/a:ibm:infosphere_biginsights:3.0.0.1"/>
<cpe-lang:fact-ref name="cpe:/a:ibm:infosphere_biginsights:3.0.0.0"/>
</cpe-lang:logical-test>
</vuln:vulnerable-configuration>
<vuln:vulnerable-configuration id="http://www.nist.gov/">
<cpe-lang:logical-test operator="OR" negate="false">
<cpe-lang:fact-ref name="cpe:/a:apache:hive:1.0.0"/>
<cpe-lang:fact-ref name="cpe:/a:apache:hive:1.1.0"/>
</cpe-lang:logical-test>
</vuln:vulnerable-configuration>
<vuln:vulnerable-software-list>
<vuln:product>cpe:/a:ibm:infosphere_biginsights:3.0.0.1</vuln:product>
<vuln:product>cpe:/a:ibm:infosphere_biginsights:3.0.0.0</vuln:product>
<vuln:product>cpe:/a:apache:hive:1.0.0</vuln:product>
<vuln:product>cpe:/a:apache:hive:1.1.0</vuln:product>
<vuln:product>cpe:/a:ibm:infosphere_biginsights:3.0.0.2</vuln:product>
</vuln:vulnerable-software-list>
<vuln:cve-id>CVE-2015-1772</vuln:cve-id>
<vuln:published-datetime>2015-12-21T06:59:00.140-05:00</vuln:published-datetime>
<vuln:last-modified-datetime>2015-12-22T06:43:39.203-05:00</vuln:last-modified-datetime>
<vuln:cvss>
<cvss:base_metrics>
<cvss:score>4.3</cvss:score>
<cvss:access-vector>NETWORK</cvss:access-vector>
<cvss:access-complexity>MEDIUM</cvss:access-complexity>
<cvss:authentication>NONE</cvss:authentication>
<cvss:confidentiality-impact>NONE</cvss:confidentiality-impact>
<cvss:integrity-impact>PARTIAL</cvss:integrity-impact>
<cvss:availability-impact>NONE</cvss:availability-impact>
<cvss:source>http://nvd.nist.gov</cvss:source>
<cvss:generated-on-datetime>2015-12-21T21:45:04.507-05:00</cvss:generated-on-datetime>
</cvss:base_metrics>
</vuln:cvss>
<vuln:cwe id="CWE-287"/>
<vuln:references xml:lang="en" reference_type="VENDOR_ADVISORY">
<vuln:source>CONFIRM</vuln:source>
<vuln:reference href="http://www-01.ibm.com/support/docview.wss?uid=swg21969546" xml:lang="en">http://www-01.ibm.com/support/docview.wss?uid=swg21969546</vuln:reference>
</vuln:references>
<vuln:references xml:lang="en" reference_type="VENDOR_ADVISORY">
<vuln:source>MLIST</vuln:source>
<vuln:reference href="http://mail-archives.apache.org/mod_mbox/www-announce/201505.mbox/%3CCAOpgucy52yzNN1FaRcxwhZmx8ZtNRjmK6V0Bxk4svAD-R1q70Q@mail.gmail.com%3E" xml:lang="en">[www-announce] 20150521 CVE-2015-1772</vuln:reference>
</vuln:references>
<vuln:summary>The LDAP implementation in HiveServer2 in Apache Hive before 1.0.1 and 1.1.x before 1.1.1, as used in IBM InfoSphere BigInsights 3.0, 3.0.0.1, and 3.0.0.2 and other products, mishandles simple unauthenticated and anonymous bind configurations, which allows remote attackers to bypass authentication via a crafted LDAP request.</vuln:summary>
</entry>
L’Universal Debian Database (UDD) contient 2 tables décrivant les Common Vulnerabilities and Exposures (CVE) affectant ou ayant affecté les paquets Debian!.