Общие уязвимости и воздействия (CVE ) предоставляет эталонный метод для общедоступных информационной безопасности уязвимостей и уязвимостей. Национальная кибербезопасность FFRDC, управляемая Корпорацией MITER, обслуживает систему при финансировании со стороны Подразделения национальной кибербезопасности Министерства внутренней безопасности США. Система была официально запущена для широкой публики в сентябре 1999 года.
Протокол автоматизации контента безопасности использует CVE, а идентификаторы CVE указаны в системе MITRE, а также в США National База данных уязвимостей.
В документации MITER Corporation определены идентификаторы CVE (также называемые «CVE-имена», «CVE-номера», «CVE-ID» и «CVE») в качестве уникальных общих идентификаторов для широко известных уязвимостей информационной безопасности в публично выпущенных пакетах программного обеспечения. Исторически идентификаторы CVE имели статус «кандидата» («CAN-») и затем могли быть переведены в записи («CVE-»), однако эта практика была прекращена некоторое время назад, и все идентификаторы теперь назначаются как CVE. Присвоение номера CVE не является гарантией того, что он станет официальной записью CVE (например, CVE может быть неправильно назначен проблеме, которая не является уязвимостью безопасности или дублирует существующую запись).
CVE назначаются центром нумерации CVE (CNA); существует три основных типа присвоения номеров CVE:
При исследовании уязвимости или потенциальной уязвимости это помогает получить номер CVE на раннем этапе. Номера CVE могут не отображаться в базах данных MITER или NVD CVE в течение некоторого времени (дни, недели, месяцы или потенциально годы) из-за проблем, на которые наложено эмбарго (номер CVE был назначен, но проблема не была обнародована) или в случаи, когда запись не исследуется и не записывается MITER из-за проблем с ресурсами. Преимущество ранней кандидатуры CVE заключается в том, что вся будущая корреспонденция может относиться к номеру CVE. Информацию о получении идентификаторов CVE для проблем с проектами с открытым исходным кодом можно получить в Red Hat.
CVE предназначены для программного обеспечения, которое было выпущено публично; это может включать бета-версии и другие предварительные версии, если они широко используются. Коммерческое программное обеспечение включено в категорию «публично выпущенное», однако специально разработанное программное обеспечение, которое не распространяется, обычно не получает CVE. Кроме того, сервисам (например, интернет-провайдеру электронной почты) не назначаются CVE для уязвимостей, обнаруженных в сервисе (например, уязвимости XSS), если только проблема не существует в базовом программном продукте, который распространяется публично.
База данных CVE содержит несколько полей:
Это стандартизированное текстовое описание проблемы (проблем). Одна общая запись:
** RESERVED ** Этот кандидат зарезервирован организацией или отдельным лицом, которое будет использовать его при объявлении новой проблемы безопасности. Когда кандидат будет опубликован, будут предоставлены подробные сведения о нем.
Это означает, что номер записи был зарезервирован Mitre для выпуска или CNA зарезервировал номер. Таким образом, в случае, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), номер CVE будет отмечен как зарезервированный, даже если сам CVE не может быть назначен CNA для некоторых время. Пока CVE не назначен, Mitre уведомляется об этом (т. Е. Прекращается действие эмбарго и проблема становится общедоступной), а Mitre исследовал проблему и написал ее описание, записи будут отображаться как «** RESERVED **. ".
Это список URL-адресов и другой информации.
Это дата создания записи. Для CVE, назначенных непосредственно Mitre, это дата, когда Mitre создал запись CVE. Для CVE, назначенных CNA (например, Microsoft, Oracle, HP, Red Hat и т. Д.), Это также дата, созданная Mitre, а не CNA. Случай, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), дату входа, которую CVE назначает CNA.
Следующие поля ранее использовались в старых записях CVE, но больше не используются.
Для поддержки идентификаторов CVE за пределами CVE-YEAR- 9999 (также известная как проблема CVE10k, ср. проблема 10,000 года ) в 2014 году было внесено изменение в синтаксис CVE, которое вступило в силу 13 января 2015 года.
Новый синтаксис CVE-ID имеет переменную длину и включает:
префикс CVE + год + произвольные цифры
ПРИМЕЧАНИЕ. Произвольные цифры переменной длины начинаются с четырех (4) фиксированных цифр и расширяются произвольными цифрами только при необходимости в календарный год, например CVE-YYYY-NNNN и, если необходимо, CVE-YYYY-NNNNN, CVE-YYYY-NNNNNN и т. д. Это также означает, что не потребуется никаких изменений в ранее назначенных идентификаторах CVE-ID, которые содержат как минимум 4 цифры.
CVE пытается назначить одну CVE для каждой проблемы безопасности, однако во многих случаях это может привести к чрезвычайно большому количеству CVE (например, когда несколько десятков уязвимостей межсайтового скриптинга) находятся в приложении PHP из-за отсутствия использования htmlspecialchars ()
или небезопасного создания файлов в / tmp
). Чтобы справиться с этим, существуют руководящие принципы (которые могут быть изменены), которые охватывают разделение и объединение проблем в отдельные номера CVE. В качестве общего правила сначала следует рассмотреть проблемы, которые необходимо объединить, затем проблемы следует разделить по типу уязвимости (например, переполнение буфера против переполнение стека ), а затем по версии программного обеспечения. затронутые (например, если одна проблема влияет на версии с 1.3.4 по 2.5.4, а другая влияет на 1.3.4 по 2.5.8, они будут SPLIT), а затем репортером проблемы (например, Алиса сообщает об одной проблеме, а Боб сообщает о другой проблеме проблемы будут разделены на отдельные номера CVE). Другой пример: Алиса сообщает об уязвимости создания файла / tmp в версии 1.2.3 и ранее веб-браузера ExampleSoft, помимо этой проблемы, обнаружено несколько других проблем с созданием файла / tmp
, в некоторых случаях это может быть рассматриваются как два репортера (и, таким образом, РАЗДЕЛЕНИЕ на два отдельных CVE, или, если Алиса работает в ExampleSoft, а внутренняя команда ExampleSoft находит остальных, это может быть ОБЪЕДИНЕНИЕ в одну CVE). И наоборот, задачи могут быть объединены, например если Боб обнаружит 145 уязвимостей XSS в ExamplePlugin для ExampleFrameWork, независимо от затронутых версий, и так далее, они могут быть объединены в один CVE.
В базе данных Mitre CVE можно искать по адресу Поиск по списку CVE и базу данных CVE NVD можно найти в Поиск в базе данных CVE и CCE Vulnerability.
Идентификаторы CVE предназначены для использования с целью идентификации уязвимости:
Common Vulnerabilities and Exposures (CVE) - это словарь общих имен (т. е. идентификаторов CVE) для широко известных уязвимостей информационной безопасности. Общие идентификаторы CVE упрощают обмен данными между отдельными базами данных и инструментами сетевой безопасности и обеспечивают основу для оценки охвата инструментов безопасности организации. Если отчет одного из ваших инструментов безопасности включает идентификаторы CVE, вы можете быстро и точно получить доступ к информации об исправлениях в одной или нескольких отдельных CVE-совместимых базах данных, чтобы устранить проблему.
Пользователи, которым был назначен идентификатор CVE для уязвимости рекомендуется размещать идентификатор во всех связанных отчетах о безопасности, на веб-страницах, в электронных письмах и т. д.