Bases de Vulnerabilidades

Vulnerabilidades em software são descobertas quotidianamente. A correta identificação e catalogação dessas vulnerabilidades é importante para ajudar os desenvolvedores a construir softwares mais seguros e também para desenvolver e manter atualizados produtos de segurança, como os antivírus.

Existem diversas bases de vulnerabilidades públicas. Algumas da mais conhecidas são:

• National Vulnerability Database
• CERT Vulnerability Notes Database
• https://www.securityfocus.com/vulnerabilities
• https://exchange.xforce.ibmcloud.com/
• https://www.rapid7.com/db/

As bases de vulnerabilidades adotam identificadores padronizados para a identificação das vulnerabilidades catalogadas. Esses identificadores facilitam a identificação das vulnerabilidades e divulgação de correções. Um padrão importante de identificação se chama CVE - Common Vulnerabilities and Exposures e é mantido pela corporação MITRE, do governo dos EUA.

1. As vulnerabilidades são geralmente classificadas usando uma codificação denominada CVSS. Explique o que é CVSS e como ela é construída.
2. Usando a base NVD, encontre a mais recente vulnerabilidade do navegador Firefox e apresente:
   1. código CVE;
   2. explicação da vulnerabilidade;
   3. métricas CVSS;
   4. possíveis soluções, caso uma atualização do software não seja possível ou viável.
3. Idem, para o servidor Web Apache (apenas o servidor propriamente dito, não considere frameworks específicos como o TomCat).
4. Idem, para o gerenciador de sites Wordpress.

Deve ser produzido um relatório no formato de artigo da SBC (PDF com até 3 pgs), contendo os resultados obtidos na atividade. O arquivo deve enviado ao professor através do sistema Moodle.