====== Bases de Vulnerabilidades ====== Vulnerabilidades são problemas presentes em um sistema computacional, que permitem a violação de suas propriedades de segurança. Podem ser erros no projeto, na implementação, na configuração ou na operação do sistema. Vulnerabilidades em software são descobertas quotidianamente. A correta identificação e catalogação dessas vulnerabilidades é importante para ajudar os desenvolvedores a construir softwares mais seguros e também para desenvolver e manter atualizados produtos de segurança, como os antivírus. Existem diversas bases públicas de vulnerabilidades. Algumas da mais conhecidas são: * [[http://nvd.nist.gov | National Vulnerability Database]] * [[http://www.kb.cert.org/vuls | CERT Vulnerability Notes Database]] * [[https://www.rapid7.com/db/]] * [[https://www.exploit-db.com/]] * [[https://vuldb.com]] Essas bases adotam identificadores padronizados para a identificação das vulnerabilidades catalogadas. Esses identificadores facilitam a identificação das vulnerabilidades e divulgação de correções. Um padrão importante de identificação se chama [[https://www.cve.org|CVE - Common Vulnerabilities and Exposures]] e é mantido pela corporação MITRE, do governo dos EUA. ===== Atividade ===== - As vulnerabilidades são geralmente classificadas usando uma codificação denominada CVSS. Explique o que é [[https://www.first.org/cvss/v4.0/specification-document|CVSS]] e como ela é construída. - Usando a base [[http://nvd.nist.gov|NVD]], encontre a mais recente vulnerabilidade do navegador **Firefox** e apresente: - código CVE; - explicação da vulnerabilidade; - métricas CVSS; - possíveis soluções, caso uma atualização do software não seja possível ou viável. - Idem, para o servidor Web **Apache** (apenas o servidor propriamente dito, não considere //frameworks// específicos). - Idem, para o gerenciador de sites **Wordpress**. Deve ser produzido um relatório no formato de artigo da SBC (PDF com até 3 pgs), contendo os resultados obtidos na atividade. O arquivo deve enviado ao professor através do sistema Moodle. Título, autor(es), data, introdução, conclusão, e bibliografia devem estar presentes em **todos** os trabalhos acadêmicos!