| name | alinux-cve-query |
| version | 1.0.0 |
| description | 查询 Alibaba Cloud Linux (Alinux) 产品的 CVE 漏洞信息,判断某个 CVE 是否影响 Alinux、是否已修复,并获取对应的安全公告(SA)。当用户询问 CVE 漏洞、安全漏洞影响、漏洞修复状态时使用。 |
| layer | system |
| lifecycle | maintenance |
Alinux CVE 漏洞查询
查询 Alibaba Cloud Linux 产品的 CVE 漏洞影响状态和修复信息。
查询流程
步骤 1:验证 CVE ID
从用户输入中提取 CVE ID,格式为 CVE-YYYY-NNNNN(年份-编号)。如果用户未提供有效 CVE ID,要求用户提供。
步骤 2:获取 CVE 详情页面内容
访问网页:https://alas.aliyuncs.com/api/portal/v1/cves/{cve-id}/,从中解析 CVE 相关信息。
步骤 3:解析页面内容
CVE 不存在的情况: Server Error。
CVE 存在时,提取以下关键信息:
| 字段 | 说明 |
|---|
| 评分 | Alibaba Cloud Linux 的 CVSS v3 评分 |
| 漏洞级别 | Critical / Important / Moderate / Low |
| 影响的产品 | 如 Alinux 4 |
| 软件包 | 受影响的软件包名 |
| 影响状态 | Fixed / Affected / Under Investigation / Not Affected / Won't Fix / Out Of Scope |
| 修复更新 | SA 公告编号,如 ALINUX4-SA-2026:0055 |
| 发布时间 | 修复更新发布时间 |
步骤 4:根据影响状态回复用户
匹配对应影响产品
获取当前产品信息,匹配当前产品的影响软件包信息
cat /etc/os-release
获取影响状态回复
Fixed(已修复):
Affected(受影响):
- 告知用户该 CVE 确认影响 Alinux 产品,修复更新正在准备中
- 建议用户关注后续更新
Under Investigation(调查中):
- 告知用户该 CVE 正在分析评估中,尚未确认是否影响 Alinux 产品
Not Affected(不受影响):
- 告知用户该 CVE 不影响 Alinux 产品,无需处理
Won't Fix(不予修复):
- 告知用户虽然该 CVE 影响 Alinux 产品,但官方决定暂不修复
- 建议:升级到不受影响的产品版本,或尝试使用缓解方案
Out Of Scope(超出范围):
- 告知用户该漏洞涉及的软件包不在 Alinux 产品服务支持范围
回复格式
## CVE-XXXX-XXXXX 查询结果
- **漏洞级别**:<级别> (评分: <分数>)
- **影响产品**:<产品名>
- **受影响软件包**:<包名>
- **影响状态**:<状态>
- **修复更新**:<SA编号>(如有)
- **概要**:<漏洞描述摘要>
### 建议操作
<根据状态给出的具体建议>
注意事项
- 一个 CVE 可能影响多个产品(如 Alinux 3 和 Alinux 4),需要匹配出当前产品的软件包信息
- 一个 CVE 可能影响多个软件包,则每个软件包以及其影响状态都单独显示
- 如果页面无法访问或解析失败,告知用户并建议直接访问 ALAS 安全中心:
https://alas.aliyuncs.com/cves