Vulnerabilități și expuneri comune

Vulnerabilitățile și expunerile comune sau CVE (comun în vulnerabilitățile și expunerile italiene ), este un dicționar de vulnerabilități și găuri de securitate cunoscute public. Acesta este întreținut de MITRE Corporation și este finanțat de National Cybersecurity FFRDC al Departamentului pentru Securitate Internă al Statelor Unite . ^[1] CVE este utilizat de Security Content Automation Protocol (SCAP), iar vulnerabilitățile, identificate printr-un identificator unic, sunt listate în sistemul MITRE și în baza de date națională a vulnerabilităților din SUA. Identificarea unică a CVE permite o comunicare mai mare în lumea securității și ajută la evaluarea difuzării serviciilor și instrumentelor. ^[2]

Așa cum s-a menționat pe site-ul web CVE, principala metodă pentru a solicita includerea unei vulnerabilități cunoscute este să o solicitați unui CNA (autorități de numerotare CVE), organizațiilor de cercetare, cercetătorilor de securitate și producătorilor de sisteme de operare. Printre acestea putem găsi: Adobe , Apple , Attachmate , BlackBerry , CERT Coordination Center , Cisco , Debian GNU / Linux , Distributed Weakness Filing Project , EMC , FreeBSD , Google , HP , IBM , ICS-CERT , JPCERT / CC , Juniper , Microsoft , MITRE (CNA primar), Mozilla , Oracle , Red Hat , Silicon Graphics , Symantec și Ubuntu . ^[3]

Identificatori CVE

Identificatorii CVE (identificatori CVE ), numiți și „nume CVE”, „numere CVE” sau „ID-uri CVE”, identifică în mod unic vulnerabilitățile de securitate cibernetică cunoscute public. Acești identificatori pot avea statutul de „intrări” sau „candidați”, în funcție de faptul dacă au fost acceptați pe lista CVE sau sunt în curs de verificare pentru a fi incluși în listă.
Atribuirea unui identificator nu garantează că vulnerabilitatea va deveni o intrare oficială CVE (de exemplu, un ID CVE poate duplica o intrare existentă).

ID-urile CVE pot fi atribuite în trei moduri:

De la corporația MITRE, CNA primar
De la CNA-uri despre produsele lor (de exemplu, Apple, Oracle, Microsoft)
De la terți, cum ar fi Centrul de coordonare CERT, care poate atribui identificatori pentru produsele care nu sunt acoperite de celelalte CNA

Este posibil ca numerele CVE să nu apară în baza de date națională a vulnerabilităților sau în bazele de date MITRE pentru o perioadă de timp (zile până la ani) din cauza problemelor legate de divulgarea lor (catalogarea lor a fost aprobată, dar nu a fost făcută publică). Informații despre obținerea ID-urilor CVE legate de proiectele Open Source sunt disponibile pe site-ul web Red Hat. ^[4]

CVE se referă la software-ul lansat public, inclusiv versiunile beta, precomanda (dacă sunt distribuite pe scară largă) și programele comerciale. Printre categoriile cărora nu li se atribuie CVE găsim sisteme personalizate nedistribuite și servicii suplimentare (de exemplu, furnizori de poștă pe bază de web cu aspecte critice, cum ar fi scripturi cross-site ), cu excepția cazului în care problema este prezentă într-un software distribuit public subiacent.

Câmpuri de date CVE

Există mai multe câmpuri într-o bază de date CVE, deși unele nu mai sunt utilizate. Printre câmpurile care nu mai sunt folosite găsim indicații privind faza în care se află CVE-urile (voci sau candidați), voturi (pentru a decide dacă transformă candidații în voci votate de membri), comentarii și propuneri.

Descriere

Este descrierea unui număr CVE, un exemplu tipic este: „** REZERVAT **”; adică identificatorul a fost rezervat de MITRE sau de un CNA (de obicei le solicită în blocuri) și, prin urmare, va rămâne atât de marcat chiar dacă nu este atribuit cu adevărat unei vulnerabilități de ceva timp.

Referințe

Prezintă lista de informații și adrese URL asociate cu CVE.

Data crearii

Aceasta este data la care a fost creată intrarea. Pentru un ID CVE atribuit direct de MITRE, aceasta este data efectivă la care a fost creată intrarea, pentru un CVE atribuit de un CNA, data creației se referă la momentul în care MITRE a rezervat intrarea, nu CNA. Astfel, în cazul în care un CNA solicită un anumit număr de CVE-uri în avans, aceste intrări vor avea toate aceeași dată de creare, adică când au fost atribuite. CVE-ul atribuit atunci nu poate fi folosit nici măcar de ani de zile (pot fi folosiți pentru vechile probleme de securitate legate de software-ul Open Source pentru care ID-urile CVE nu au fost încă atribuite).

Sintaxa CVE ID se modifică

De când a fost introdus CVE în 1999, sintaxa CVE ID a fost CVE-AAAA-NNNN: a acceptat maximum 9999 identificatori unici pe an. În ultimii ani, creșterea numărului de vulnerabilități care trebuie înregistrate a condus la modificarea acestei sintaxi, care a intrat în vigoare la 13 ianuarie 2015. ^[5]

Noua formulă are o lungime variabilă și include:

Prefix CVE - an - cifre arbitrare

Lungimea câmpului „cifre arbitrare” este variabilă, dar trebuie să conțină cel puțin patru (4) caractere, deci sintaxa este compatibilă înapoi.

CVE SPLIT și MERGE

CVE încearcă să atribuie o intrare pentru fiecare problemă de securitate, dar uneori acest lucru este imposibil din cauza numărului rezultat prea mare (de exemplu, numai pentru vulnerabilitățile de scriptare cross-site găsite în aplicațiile PHP , ar fi scrise zeci). Pentru a rezolva acest lucru, există instrucțiuni pentru divizarea și îmbinarea problemelor în ID-uri CVE separate. Când unele vulnerabilități sunt considerate unifiabile, acestea sunt împărțite după tip (de exemplu, depășirea bufferului / depășirea stivei ), apoi după versiunea software pe care o afectează și, în cele din urmă, de către subiectul care le raportează (dacă este raportat de doi subiecți diferiți, va fi un SPLIT făcut și înregistrat cu două ID-uri CVE diferite). De exemplu, dacă Alice raportează o vulnerabilitate în crearea unui fișier / tmp în versiunile anterioare 1.2.3 a browserului web ExampleSoft și alte vulnerabilități se găsesc în crearea fișierelor / tmp în plus față de aceasta, în multe cazuri, aceasta este considerată a fi două rapoarte distincte (acest lucru va genera doi identificatori CVE separați, dacă Alice lucrează pentru ExampleSoft și o echipă internă la ExampleSoft găsește celelalte vulnerabilități atunci cele două CVE pot fi combinate). În schimb, dacă, de exemplu, Bob a găsit 145 de vulnerabilități XSS în ExamplePlugin pentru ExampleFramework, indiferent de versiunile afectate, acestea ar putea fi îmbinate într-o singură intrare (MERGE) ^[6] .

Unde să găsiți CVE-uri

Baza de date CVE MITRE poate fi găsită la link-ul CVE List Master Copy, în timp ce cea NVD de la Search CVE și CCE Vulnerability Database . În prezent, numărul de identificatori CVE alocați se ridică la: 76311 ^[7] .

Notă

^ MITER Corporation , CVE - Vulnerabilități și expuneri comune pe cve.mitre.org, 3 iulie 2007. Adus pe 20-11-2008.
^ CVE - Vulnerabilități și expuneri comune , la cve.mitre.org . Adus 06-06-2016 .
„Identificatorii comuni CVE permit schimbul de date între produsele de securitate și oferă un punct de referință pentru evaluarea acoperirii instrumentelor și serviciilor.” .
^ CNA - Autoritățile de numerotare CVE , la cve.mitre.org . Adus 06-06-2016 .
^ Red Hat Inc. , CVE OpenSource Request HOWTO , la people.redhat.com . Adus 07/06/2016 (arhivat din original la 12 iulie 2014) .
"Există mai multe moduri de a face o cerere în funcție de cerințele dvs.:" .
^ CVE-ID Syntax Change , la cve.mitre.org . Adus 11.06.2016 .
^ CVE Abstraction Content Decisions: Rationale and Application , at cve.mitre.org . Adus 06-06-2016 .
^ Despre CVE , la cve.mitre.org . Adus 06-06-2016 .

Elemente conexe

CVSS

linkuri externe

CVE - Vulnerabilități și expuneri comune , la cve.mitre.org .
Autoritățile de numerotare CNA - CVE , pe cve.mitre.org .
MITRE Corporation , pe mitre.org .
CVE-OpenSource-Request-HOWTO , la people.redhat.com . Adus la 7 iunie 2016 (arhivat din original la 12 iulie 2014) .
CVE-ID Syntax Change , la cve.mitre.org .
Decizii privind conținutul abstractizării CVE: Justificare și aplicație , la cve.mitre.org .
CVE List Master Copy , la cve.mitre.org . Adus la 26 septembrie 2014 (arhivat din original la 3 octombrie 2014) .
Căutați baza de date CVE și CCE Vulnerability , la web.nvd.nist.gov .
Despre CVE , la cve.mitre.org .

Portal de securitate IT : accesați intrările Wikipedia care se ocupă cu securitatea IT

[1] MITER Corporation , CVE - Vulnerabilități și expuneri comune pe cve.mitre.org, 3 iulie 2007. Adus pe 20-11-2008.

[2] CVE - Vulnerabilități și expuneri comune , la cve.mitre.org . Adus 06-06-2016 .
„Identificatorii comuni CVE permit schimbul de date între produsele de securitate și oferă un punct de referință pentru evaluarea acoperirii instrumentelor și serviciilor.” .

[3] CNA - Autoritățile de numerotare CVE , la cve.mitre.org . Adus 06-06-2016 .

[4] Red Hat Inc. , CVE OpenSource Request HOWTO , la people.redhat.com . Adus 07/06/2016 (arhivat din original la 12 iulie 2014) .
"Există mai multe moduri de a face o cerere în funcție de cerințele dvs.:" .

[5] CVE-ID Syntax Change , la cve.mitre.org . Adus 11.06.2016 .

[6] CVE Abstraction Content Decisions: Rationale and Application , at cve.mitre.org . Adus 06-06-2016 .

[7] Despre CVE , la cve.mitre.org . Adus 06-06-2016 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]