Распространенные уязвимости и воздействия - Википедия - Common Vulnerabilities and Exposures

В Распространенные уязвимости и подверженности (CVE) предоставляет эталонный метод для общеизвестных информационная безопасность уязвимости и выдержки. В Национальная кибербезопасность FFRDC, управляется Корпорация МИТЕР, поддерживает систему при финансировании из Управление национальной кибербезопасности Министерства внутренней безопасности США.[1] Система была официально запущена для общественности в сентябре 1999 года.[2]

В Протокол автоматизации безопасности контента использует CVE, а идентификаторы CVE перечислены в системе MITRE[3] а также в США Национальная база данных уязвимостей.

Идентификаторы CVE

В документации MITER Corporation идентификаторы CVE (также называемые «имена CVE», «номера CVE», «идентификаторы CVE» и «CVE») определены как уникальные общие идентификаторы для широко известных уязвимостей информационной безопасности в общедоступных пакетах программного обеспечения. Исторически идентификаторы CVE имели статус «кандидата» («CAN-») и затем могли быть переведены в записи («CVE-»), однако эта практика была прекращена некоторое время назад, и все идентификаторы теперь назначаются как CVE. Присвоение номера CVE не является гарантией того, что он станет официальной записью CVE (например, CVE может быть неправильно назначен проблеме, которая не является уязвимостью безопасности или дублирует существующую запись).

CVE присваиваются центром нумерации CVE (CNA);[4] Существует три основных типа присвоения номеров CVE:

  1. В Mitre Corporation выполняет функции редактора и первичного CNA
  2. Различные CNA назначают номера CVE для своих продуктов (например, Microsoft, Oracle, HP, Red Hat и т. Д.)
  3. Сторонний координатор, например Координационный центр CERT может назначать номера CVE для продуктов, на которые не распространяются другие CNA

При исследовании уязвимости или потенциальной уязвимости полезно получить номер CVE на ранней стадии. Номера CVE могут не отображаться в базах данных MITER или NVD CVE в течение некоторого времени (дни, недели, месяцы или потенциально годы) из-за проблем, на которые наложено эмбарго (номер CVE был назначен, но проблема не была обнародована) или в случаи, когда запись не исследуется и не записывается MITER из-за проблем с ресурсами. Преимущество ранней кандидатуры CVE заключается в том, что вся будущая корреспонденция может относиться к номеру CVE. Информация о получении идентификаторов CVE для проблем с проектами с открытым исходным кодом доступна по адресу Красная шляпа.[5]

CVE предназначены для публично выпущенного программного обеспечения; это может включать бета-версии и другие предварительные версии, если они широко используются. Коммерческое программное обеспечение включено в категорию «публично выпущенное», однако специально разработанное программное обеспечение, которое не распространяется, обычно не получает CVE. Кроме того, сервисам (например, интернет-провайдеру электронной почты) не назначаются CVE для уязвимостей, обнаруженных в сервисе (например, уязвимости XSS), если только проблема не существует в базовом программном продукте, который распространяется публично.

Поля данных CVE

База данных CVE содержит несколько полей:

Описание

Это стандартизированное текстовое описание проблемы (вопросов). Одна общая запись:

** ЗАБРОНИРОВАТЬ ** Этот кандидат был зарезервирован организацией или частным лицом, которые будут использовать его при объявлении новой проблемы безопасности. Когда кандидат будет опубликован, будут предоставлены подробные сведения о нем.

Это означает, что номер записи был зарезервирован компанией Mitre для выпуска или CNA зарезервировал номер. Таким образом, в случае, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), номер CVE будет отмечен как зарезервированный, даже если сам CVE не может быть назначен CNA для некоторых время. Пока CVE не назначен, Mitre уведомляется об этом (т. Е. Прекращается действие эмбарго и проблема становится общедоступной), а Mitre исследовал проблему и написал ее описание, записи будут отображаться как «** RESERVED **. ".

Рекомендации

Это список URL-адресов и другой информации

Это дата создания записи. Для CVE, назначенных непосредственно Mitre, это дата, когда Mitre создал запись CVE. Для CVE, назначенных CNA (например, Microsoft, Oracle, HP, Red Hat и т. Д.), Это также дата, созданная Mitre, а не CNA. Случай, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), дату входа, которую CVE назначает CNA.

Устаревшие поля

Следующие поля ранее использовались в старых записях CVE, но больше не используются.

  • Фаза: фаза, в которой находится CVE (например, CAN, CVE).
  • Голоса: Раньше члены правления голосовали «да» или «против» по ​​поводу того, следует ли принимать CAN и преобразовывать ее в CVE.
  • Комментарии: Комментарии к проблеме.
  • Предложено: когда проблема была впервые предложена.

Изменения в синтаксисе

Для поддержки идентификаторов CVE за пределами CVE-YEAR-9999 (также известный как проблема CVE10k, см. год 10,000 проблема ) в синтаксис CVE в 2014 г. было внесено изменение, которое вступило в силу 13 января 2015 г. [6]

Новый синтаксис CVE-ID имеет переменную длину и включает:

Префикс CVE + год + произвольные цифры

ПРИМЕЧАНИЕ. Произвольные цифры переменной длины начинаются с четырех (4) фиксированных цифр и дополняются произвольными цифрами только при необходимости в календарном году, например, CVE-YYYY-NNNN и, при необходимости, CVE-YYYY-NNNNN, CVE-YYYY- NNNNNN и так далее. Это также означает, что не потребуется никаких изменений в ранее назначенных идентификаторах CVE-ID, которые содержат как минимум 4 цифры.

CVE SPLIT и MERGE

CVE пытается назначить одну CVE для каждой проблемы безопасности, однако во многих случаях это может привести к чрезвычайно большому количеству CVE (например, когда в приложении PHP обнаружено несколько десятков уязвимостей межсайтового скриптинга из-за отсутствия использования htmlspecialchars () или небезопасное создание файлов в / tmp). Чтобы справиться с этим, существуют руководящие принципы (могут быть изменены), которые охватывают разделение и объединение проблем в отдельные номера CVE. В качестве общего правила сначала следует рассмотреть проблемы, которые необходимо объединить, затем проблемы следует разделить по типу уязвимости (например, переполнение буфера против. переполнение стека ), затем по затронутой версии программного обеспечения (например, если одна проблема затрагивает версии с 1.3.4 по 2.5.4, а другая - с 1.3.4 по 2.5.8, они будут SPLIT), а затем по сообщению о проблеме (например, Алиса сообщает одна проблема, и Боб сообщает о другой проблеме, проблемы будут разделены на отдельные номера CVE). Другой пример: Алиса сообщает об уязвимости создания файла / tmp в веб-браузере ExampleSoft версии 1.2.3 и более ранних, а также о нескольких других уязвимостях. / tmp обнаружены проблемы с созданием файлов, в некоторых случаях это может рассматриваться как два репортера (и, таким образом, РАЗДЕЛЕНИЕ на два отдельных CVE, или, если Алиса работает на ExampleSoft, а внутренняя команда ExampleSoft обнаруживает, что остальное это может быть ОБЪЕДИНЕНИЕ в один CVE) . И наоборот, задачи могут быть объединены, например если Боб обнаружит 145 уязвимостей XSS в ExamplePlugin для ExampleFrameWork, независимо от затронутых версий и т.д., они могут быть объединены в одну CVE.[7]

Искать идентификаторы CVE

Базу данных Mitre CVE можно найти на Поиск по списку CVE, а в базе данных NVD CVE можно найти Поиск в базе данных уязвимостей CVE и CCE.

CVE использование

Идентификаторы CVE предназначены для использования с целью выявления уязвимостей:

Common Vulnerabilities and Exposures (CVE) - это словарь общих имен (т. Е. Идентификаторов CVE) для широко известных уязвимостей информационной безопасности. Общие идентификаторы CVE упрощают обмен данными между отдельными базами данных и инструментами сетевой безопасности и обеспечивают основу для оценки охвата инструментов безопасности организации. Если отчет одного из ваших инструментов безопасности включает идентификаторы CVE, вы можете быстро и точно получить доступ к информации об исправлениях в одной или нескольких отдельных CVE-совместимых базах данных, чтобы устранить проблему.[8]

Пользователям, которым был назначен идентификатор CVE для уязвимости, рекомендуется убедиться, что они помещают идентификатор во все связанные отчеты о безопасности, веб-страницы, электронные письма и т. Д.

Смотрите также

Рекомендации

  1. ^ "CVE - Общие уязвимости и воздействия". Mitre Corporation. 2007-07-03. Получено 2009-06-18. CVE спонсируется отделом национальной кибербезопасности Министерства внутренней безопасности США.
  2. ^ "CVE - История". cve.mitre.org. Получено 25 марта 2020.
  3. ^ cve.mitre.org. CVE® International по своему охвату и бесплатна для публичного использования, CVE представляет собой словарь общеизвестных уязвимостей и уязвимостей информационной безопасности.
  4. ^ "CVE - органы нумерации CVE". Mitre Corporation. 2015-02-01. Получено 2015-11-15.
  5. ^ "CVE OpenSource Request HOWTO". Red Hat Inc. 2016-11-14. Получено 2019-05-29. В зависимости от ваших требований есть несколько способов сделать запрос:
  6. ^ "CVE - изменение синтаксиса идентификатора CVE". cve.mitre.org. 13 сентября 2016 г.
  7. ^ Решения о содержании абстракции CVE: обоснование и применение
  8. ^ "CVE - О CVE". cve.mitre.org. Получено 2015-07-28.

внешняя ссылка