Общие уязвимости и воздействия

редактировать
Каталог уязвимостей информационной безопасности

Общие уязвимости и воздействия (CVE ) предоставляет эталонный метод для общедоступных информационной безопасности уязвимостей и уязвимостей. Национальная кибербезопасность FFRDC, управляемая Корпорацией MITER, обслуживает систему при финансировании со стороны Подразделения национальной кибербезопасности Министерства внутренней безопасности США. Система была официально запущена для широкой публики в сентябре 1999 года.

Протокол автоматизации контента безопасности использует CVE, а идентификаторы CVE указаны в системе MITRE, а также в США National База данных уязвимостей.

Содержание

  • 1 Идентификаторы CVE
  • 2 Поля данных CVE
    • 2.1 Описание
    • 2.2 Ссылки
    • 2.3 Устаревшие поля
  • 3 Изменения в синтаксисе
  • 4 CVE SPLIT и MERGE
  • 5 Поиск идентификаторов CVE
  • 6 Использование CVE
  • 7 См. Также
  • 8 Ссылки
  • 9 Внешние ссылки

идентификаторы CVE

В документации MITER Corporation определены идентификаторы CVE (также называемые «CVE-имена», «CVE-номера», «CVE-ID» и «CVE») в качестве уникальных общих идентификаторов для широко известных уязвимостей информационной безопасности в публично выпущенных пакетах программного обеспечения. Исторически идентификаторы CVE имели статус «кандидата» («CAN-») и затем могли быть переведены в записи («CVE-»), однако эта практика была прекращена некоторое время назад, и все идентификаторы теперь назначаются как CVE. Присвоение номера CVE не является гарантией того, что он станет официальной записью CVE (например, CVE может быть неправильно назначен проблеме, которая не является уязвимостью безопасности или дублирует существующую запись).

CVE назначаются центром нумерации CVE (CNA); существует три основных типа присвоения номеров CVE:

  1. Miter Corporation выполняет функции редактора и основного CNA
  2. Различные CNA назначают номера CVE для своих собственных продуктов (например, Microsoft, Oracle, HP, Red Hat и т. Д.)
  3. Сторонний координатор, такой как Координационный центр CERT, может назначать номера CVE для продуктов, не подпадающих под действие других CNA

При исследовании уязвимости или потенциальной уязвимости это помогает получить номер CVE на раннем этапе. Номера CVE могут не отображаться в базах данных MITER или NVD CVE в течение некоторого времени (дни, недели, месяцы или потенциально годы) из-за проблем, на которые наложено эмбарго (номер CVE был назначен, но проблема не была обнародована) или в случаи, когда запись не исследуется и не записывается MITER из-за проблем с ресурсами. Преимущество ранней кандидатуры CVE заключается в том, что вся будущая корреспонденция может относиться к номеру CVE. Информацию о получении идентификаторов CVE для проблем с проектами с открытым исходным кодом можно получить в Red Hat.

CVE предназначены для программного обеспечения, которое было выпущено публично; это может включать бета-версии и другие предварительные версии, если они широко используются. Коммерческое программное обеспечение включено в категорию «публично выпущенное», однако специально разработанное программное обеспечение, которое не распространяется, обычно не получает CVE. Кроме того, сервисам (например, интернет-провайдеру электронной почты) не назначаются CVE для уязвимостей, обнаруженных в сервисе (например, уязвимости XSS), если только проблема не существует в базовом программном продукте, который распространяется публично.

Поля данных CVE

База данных CVE содержит несколько полей:

Описание

Это стандартизированное текстовое описание проблемы (проблем). Одна общая запись:

** RESERVED ** Этот кандидат зарезервирован организацией или отдельным лицом, которое будет использовать его при объявлении новой проблемы безопасности. Когда кандидат будет опубликован, будут предоставлены подробные сведения о нем.

Это означает, что номер записи был зарезервирован Mitre для выпуска или CNA зарезервировал номер. Таким образом, в случае, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), номер CVE будет отмечен как зарезервированный, даже если сам CVE не может быть назначен CNA для некоторых время. Пока CVE не назначен, Mitre уведомляется об этом (т. Е. Прекращается действие эмбарго и проблема становится общедоступной), а Mitre исследовал проблему и написал ее описание, записи будут отображаться как «** RESERVED **. ".

Ссылки

Это список URL-адресов и другой информации.

Это дата создания записи. Для CVE, назначенных непосредственно Mitre, это дата, когда Mitre создал запись CVE. Для CVE, назначенных CNA (например, Microsoft, Oracle, HP, Red Hat и т. Д.), Это также дата, созданная Mitre, а не CNA. Случай, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), дату входа, которую CVE назначает CNA.

Устаревшие поля

Следующие поля ранее использовались в старых записях CVE, но больше не используются.

  • Фаза: фаза, в которой находится CVE (например, CAN, CVE).
  • Голоса: Раньше члены правления голосовали за или против, следует ли принимать CAN и превращать ее в CVE. 31>
  • Комментарии: Комментарии к проблеме.
  • Предложено: Когда проблема была впервые предложена.

Изменения в синтаксисе

Для поддержки идентификаторов CVE за пределами CVE-YEAR- 9999 (также известная как проблема CVE10k, ср. проблема 10,000 года ) в 2014 году было внесено изменение в синтаксис CVE, которое вступило в силу 13 января 2015 года.

Новый синтаксис CVE-ID имеет переменную длину и включает:

префикс CVE + год + произвольные цифры

ПРИМЕЧАНИЕ. Произвольные цифры переменной длины начинаются с четырех (4) фиксированных цифр и расширяются произвольными цифрами только при необходимости в календарный год, например CVE-YYYY-NNNN и, если необходимо, CVE-YYYY-NNNNN, CVE-YYYY-NNNNNN и т. д. Это также означает, что не потребуется никаких изменений в ранее назначенных идентификаторах CVE-ID, которые содержат как минимум 4 цифры.

CVE SPLIT и MERGE

CVE пытается назначить одну CVE для каждой проблемы безопасности, однако во многих случаях это может привести к чрезвычайно большому количеству CVE (например, когда несколько десятков уязвимостей межсайтового скриптинга) находятся в приложении PHP из-за отсутствия использования htmlspecialchars ()или небезопасного создания файлов в / tmp). Чтобы справиться с этим, существуют руководящие принципы (которые могут быть изменены), которые охватывают разделение и объединение проблем в отдельные номера CVE. В качестве общего правила сначала следует рассмотреть проблемы, которые необходимо объединить, затем проблемы следует разделить по типу уязвимости (например, переполнение буфера против переполнение стека ), а затем по версии программного обеспечения. затронутые (например, если одна проблема влияет на версии с 1.3.4 по 2.5.4, а другая влияет на 1.3.4 по 2.5.8, они будут SPLIT), а затем репортером проблемы (например, Алиса сообщает об одной проблеме, а Боб сообщает о другой проблеме проблемы будут разделены на отдельные номера CVE). Другой пример: Алиса сообщает об уязвимости создания файла / tmp в версии 1.2.3 и ранее веб-браузера ExampleSoft, помимо этой проблемы, обнаружено несколько других проблем с созданием файла / tmp, в некоторых случаях это может быть рассматриваются как два репортера (и, таким образом, РАЗДЕЛЕНИЕ на два отдельных CVE, или, если Алиса работает в ExampleSoft, а внутренняя команда ExampleSoft находит остальных, это может быть ОБЪЕДИНЕНИЕ в одну CVE). И наоборот, задачи могут быть объединены, например если Боб обнаружит 145 уязвимостей XSS в ExamplePlugin для ExampleFrameWork, независимо от затронутых версий, и так далее, они могут быть объединены в один CVE.

Искать идентификаторы CVE

В базе данных Mitre CVE можно искать по адресу Поиск по списку CVE и базу данных CVE NVD можно найти в Поиск в базе данных CVE и CCE Vulnerability.

Использование CVE

Идентификаторы CVE предназначены для использования с целью идентификации уязвимости:

Common Vulnerabilities and Exposures (CVE) - это словарь общих имен (т. е. идентификаторов CVE) для широко известных уязвимостей информационной безопасности. Общие идентификаторы CVE упрощают обмен данными между отдельными базами данных и инструментами сетевой безопасности и обеспечивают основу для оценки охвата инструментов безопасности организации. Если отчет одного из ваших инструментов безопасности включает идентификаторы CVE, вы можете быстро и точно получить доступ к информации об исправлениях в одной или нескольких отдельных CVE-совместимых базах данных, чтобы устранить проблему.

Пользователи, которым был назначен идентификатор CVE для уязвимости рекомендуется размещать идентификатор во всех связанных отчетах о безопасности, на веб-страницах, в электронных письмах и т. д.

См. Также

Ссылки

Внешние ссылки

Последняя правка сделана 2021-05-15 07:13:16
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте