https://blog.qiqitori.com/cve_generator/ ← Newest CVE Generator version
https://github.com/qiqitori/cve-generator ← GitHub
I’ve been thinking of creating a small tool that is capable of creating CVE descriptions. The benefit of having such a tool would be:
- Generating perfect descriptions in other languages without translating manually
- Predictable (==theoretically, parseable) descriptions
- High-quality output for people submitting a vulnerability description for the first time
CVE descriptions usually look like this:
Heap-based buffer overflow in the jpc_dec_decodepkt function in jpc_t2dec.c in JasPer 2.0.10 allows remote attackers to have unspecified impact via a crafted image.
This has the following pieces of information:
- Locality (function and file name) (jpc_t2dec.c, jpc_dec_decodepkt())
- Software name (JasPer)
- Software version (2.0.10)
- Attacker type (remote)
- Impact (unspecified)
- Using what? (specially crafted image)
Most CVE descriptions appear to contain no more and no less information than this.
One picture is worth a thousand words, so here’s a screenshot to give you an idea of how this could work:
The whole thing works entirely in JavaScript and doesn’t send any data anywhere. The code is currently pretty easy to grok, and probably anything but over-engineered.
To add a language, one would copy one of the existing .js files to create a base. The file name scheme is: cve_generator_VERSION_LANGUAGECODE.js. In these files, you have a large dictionary to translate option values to actual text, which looks like this:
var tl = {
"generic_vulnerability": "脆弱性",
"generic_vulnerabilities": "複数の脆弱性",
"memory_leak": "メモリリーク",
...
Then you have a couple of functions that are each responsible for creating a small sentence fragment, and one function that adds all these fragments together. These functions differ a bit depending on the grammar of the language in question.
Anyway, this thing probably lacks a lot of features. If you need anything, feel free to leave a comment here or on GitHub, or even send a pull request.
(License: GPLv3, but feel free to copy and paste the base and/or any minor bits for use in entirely unrelated projects (without any restrictions and under any license of your choosing)
以下同じ内容を日本語で書きます。
https://blog.qiqitori.com/cve_generator/ ← 最新のバージョン
https://github.com/qiqitori/cve-generator ← GitHub
スクリーンショットは上記の英文に貼ってあります。
CVE の説明文を「生成」してくれるツールみたいなのほしいと思って、何もあまり考えないで早速作ってみました。
ツール化するメリット:
- 英語版と日本語版を一気に作れる。もちろん、他の言語も(未実現ですが)
- 微妙な違いはないため、理論上パースもできるはず
- 初めて CVE 文章を作る人の役に立つ
さて、CVE の説明文は大体みんなこんな感じです:
Heap-based buffer overflow in the jpc_dec_decodepkt function in jpc_t2dec.c in JasPer 2.0.10 allows remote attackers to have unspecified impact via a crafted image.
この文章に含まれている情報は以下の通りです:
- ソフトウェア名 (JasPer)
- ソフトウェアバージョン (2.0.10)
- 攻撃者の種類 (リモート)
- 影響 (不特定)
- 入力方法など (巧妙に細工された画像ファイル)
作成したツールのコードは JavaScript で書かれていて、実行環境はブラウザーで、外部ネットワークアクセスは発生しません。まだ、オーバースペックから程遠いコードだと思います。笑
現在は、新しい言語を追加するのには、既存の .js ファイルを丸ごとコピーして要編集のところを編集するというイメージです。ファイル名は適当に cve_generator_VERSION_言語コード.js に決まっています。これらのファイルの中に、以下のようなオブジェクトを使って翻訳を入れます。
var tl = {
"generic_vulnerability": "脆弱性",
"generic_vulnerabilities": "複数の脆弱性",
"memory_leak": "メモリリーク",
...
そのほかに、小さい文断片を返してくれる短い関数と、これらの関数が返す文断片をつないでちゃんとした文章を作る関数があります。言語によってやるべきことが違っていて、関数の構造もみんな微妙に違うので、あまりにも膨大化しすぎたら管理しづらくなりそうですが、まぁそのかわり開発時間は数時間で済みました。笑
とにかく機能はまだあまりありません。何か欲しいロジックなどありましたらご連絡ください~
ライセンスは、一応 GPLv3 ですが、ぜんぜん違うソフトを作るのに役に立ちそうなものがあったら、ぜひ GPLv3 と関係なく、著作権がないと考えて好きなように摘み取ってください。