Распространенные уязвимости и подверженности

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален.
Найдите источники: «Общие уязвимости и воздействия» - новости · газеты · книги · ученый · JSTOR ( январь 2012 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон )

Система Common Vulnerabilities and Exposures ( CVE ) предоставляет эталонный метод для общедоступных уязвимостей и уязвимостей информационной безопасности . Национальная Кибербезопасность FFRDC , эксплуатируемые митры Corporation , поддерживает систему с финансированием из Национального отдела компьютерной безопасности Соединенных Штатов Министерства внутренней безопасности. ^[1] Система была официально запущена для общественности в сентябре 1999 года. ^[2]

Content Security Automation Protocol использует CVE и идентификаторы CVE перечислены в системе митры в ^[3] , а также в США Национальной базы данных уязвимостей .

Идентификаторы CVE [ править ]

В документации MITER Corporation идентификаторы CVE (также называемые «имена CVE», «номера CVE», «идентификаторы CVE» и «CVE») определены как уникальные общие идентификаторы для широко известных уязвимостей информационной безопасности в общедоступных пакетах программного обеспечения. Исторически идентификаторы CVE имели статус «кандидата» («CAN-») и затем могли быть переведены в записи («CVE-»), однако эта практика была прекращена некоторое время назад ^{[ когда? ]} и все идентификаторы теперь назначаются как CVE. Присвоение номера CVE не является гарантией того, что он станет официальной записью CVE (например, CVE может быть неправильно назначен проблеме, которая не является уязвимостью безопасности или дублирует существующую запись).

CVE присваиваются органом нумерации CVE (CNA); ^[4] существует три основных типа присвоения номеров CVE:

В Митра Corporation функционирует как редактор и первичного CNA
Различные CNA назначают номера CVE для своих продуктов (например, Microsoft, Oracle, HP, Red Hat и т. Д.)
Сторонний координатор, такой как Координационный центр CERT, может назначить номера CVE для продуктов, на которые не распространяются другие CNA.

При исследовании уязвимости или потенциальной уязвимости полезно получить номер CVE на ранней стадии. Номера CVE могут не отображаться в базах данных MITER или NVD CVE в течение некоторого времени (дни, недели, месяцы или потенциально годы) из-за проблем, на которые наложено эмбарго (номер CVE был назначен, но проблема не была обнародована) или в случаи, когда запись не исследуется и не записывается MITER из-за проблем с ресурсами. Преимущество ранней кандидатуры CVE заключается в том, что вся будущая корреспонденция может относиться к номеру CVE. Информацию о получении идентификаторов CVE для проблем с проектами с открытым исходным кодом можно получить в Red Hat . ^[5]

CVE предназначены для публично выпущенного программного обеспечения; это может включать бета-версии и другие предварительные версии, если они широко используются. Коммерческое программное обеспечение включено в категорию «публично выпущенное», однако специально разработанное программное обеспечение, которое не распространяется, обычно не получает CVE. Кроме того, сервисам (например, интернет-провайдеру электронной почты) не назначаются CVE для уязвимостей, обнаруженных в сервисе (например, уязвимости XSS), если только проблема не существует в базовом программном продукте, который распространяется публично.

Поля данных CVE [ править ]

База данных CVE содержит несколько полей:

Описание [ править ]

Это стандартизированное текстовое описание проблемы (вопросов). Одна общая запись:

** ЗАБРОНИРОВАТЬ ** Этот кандидат был зарезервирован организацией или частным лицом, которые будут использовать его при объявлении новой проблемы безопасности. Когда кандидат будет опубликован, будут предоставлены подробные сведения о нем.

Это означает, что номер записи был зарезервирован компанией Mitre для выпуска или CNA зарезервировал номер. Таким образом, в случае, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), номер CVE будет помечен как зарезервированный, даже если сам CVE не может быть назначен CNA для некоторых время. Пока CVE не назначен, Mitre уведомляется об этом (т. Е. Прекращается действие эмбарго и проблема становится общедоступной), а Mitre исследовал проблему и написал ее описание, записи будут отображаться как «** RESERVED **. ".

Ссылки [ править ]

Это список URL-адресов и другой информации

Это дата создания записи. Для CVE, назначенных непосредственно Mitre, это дата, когда Mitre создал запись CVE. Для CVE, назначенных CNA (например, Microsoft, Oracle, HP, Red Hat и т. Д.), Это также дата, созданная Mitre, а не CNA. Случай, когда CNA запрашивает блок номеров CVE заранее (например, Red Hat в настоящее время запрашивает CVE блоками по 500), дату входа, которую CVE назначает CNA.

Устаревшие поля [ править ]

Следующие поля ранее использовались в старых записях CVE, но больше не используются.

Фаза: фаза, в которой находится CVE (например, CAN, CVE).
Голоса: Раньше члены правления голосовали «да» или «против» по поводу того, следует ли принимать CAN и преобразовывать ее в CVE.
Комментарии: Комментарии к проблеме.
Предложено: когда проблема была впервые предложена.

Изменения в синтаксисе [ править ]

Для поддержки идентификаторов CVE за пределами CVE-YEAR-9999 (также известная как проблема CVE10k, ср. Проблема 10 000 года ) в 2014 году в синтаксис CVE были внесены изменения, которые вступили в силу 13 января 2015 года ^[6].

Новый синтаксис CVE-ID имеет переменную длину и включает:

Префикс CVE + год + произвольные цифры

ПРИМЕЧАНИЕ. Произвольные цифры переменной длины начинаются с четырех (4) фиксированных цифр и дополняются произвольными цифрами только при необходимости в календарном году, например, CVE-YYYY-NNNN и, при необходимости, CVE-YYYY-NNNNN, CVE-YYYY- NNNNNN и так далее. Это также означает, что не потребуется никаких изменений в ранее назначенных идентификаторах CVE-ID, которые содержат как минимум четыре цифры.

CVE SPLIT и MERGE [ править ]

CVE пытается назначить одну CVE для каждой проблемы безопасности, однако во многих случаях это может привести к чрезвычайно большому количеству CVE (например, когда в приложении PHP обнаруживается несколько десятков уязвимостей межсайтового скриптинга из-за отсутствия использования htmlspecialchars()или небезопасного создания файлов в /tmp).

Чтобы справиться с этим, существуют руководящие принципы (могут быть изменены), которые охватывают разделение и объединение проблем в отдельные номера CVE. В качестве общего правила сначала следует рассмотреть проблемы, которые необходимо объединить, затем проблемы следует разделить по типу уязвимости (например, переполнение буфера или переполнение стека ), а затем по затронутой версии программного обеспечения (например, если одна проблема затрагивает версии с 1.3.4 по 2.5.4, а другие затрагивают 1.3.4–2.5.8 (они будут SPLIT), а затем сообщать о проблеме (например, Алиса сообщает об одной проблеме, а Боб сообщает о другой проблеме, проблемы будут разделены на отдельные номера CVE).

Другой пример: Алиса сообщает об уязвимости создания файла / tmp в версии 1.2.3 и ранее веб-браузера ExampleSoft, помимо этой проблемы /tmpобнаружено несколько других проблем с созданием файлов, в некоторых случаях это можно рассматривать как два репортера (и, таким образом, SPLIT на две отдельные CVE, или, если Алиса работает в ExampleSoft, а внутренняя команда ExampleSoft находит остальные, они могут быть объединены в одну CVE). И наоборот, проблемы могут быть объединены, например, если Боб обнаружит 145 уязвимостей XSS в ExamplePlugin для ExampleFrameWork, независимо от затронутых версий, и так далее, они могут быть объединены в одну CVE. ^[7]

Поиск идентификаторов CVE [ править ]

База данных Mitre CVE может быть найдена в поиске по списку CVE, а база данных CVE NVD может быть найдена в Search CVE и базе данных уязвимостей CCE .

Использование CVE [ править ]

Идентификаторы CVE предназначены для использования с целью выявления уязвимостей:

Common Vulnerabilities and Exposures (CVE) - это словарь общих имен (т. Е. Идентификаторов CVE) для широко известных уязвимостей информационной безопасности. Общие идентификаторы CVE упрощают обмен данными между отдельными базами данных и инструментами сетевой безопасности и обеспечивают основу для оценки охвата инструментов безопасности организации. Если отчет одного из ваших инструментов безопасности включает идентификаторы CVE, вы можете быстро и точно получить доступ к информации об исправлениях в одной или нескольких отдельных CVE-совместимых базах данных, чтобы устранить проблему. ^[8]

Пользователям, которым был назначен идентификатор CVE для уязвимости, рекомендуется убедиться, что они помещают идентификатор в любые связанные отчеты о безопасности, веб-страницы, электронные письма и т. Д.

Проблемы с назначением CVE [ править ]

Согласно разделу 7.1 Правил CNA, поставщик, получивший отчет об уязвимости системы безопасности, имеет в отношении нее полную свободу действий. [1] Это может привести к конфликту интересов, так как поставщик может попытаться не исправлять недостатки, отказав в назначении CVE с самого начала - решение, которое Mitre не может отменить.

См. Также [ править ]

Общая система оценки уязвимостей (CVSS)
Перечень общих слабых мест (CWE)
Компьютерная безопасность

Ссылки [ править ]

^ «CVE - Общие уязвимости и воздействия» . Корпорация Митра . 2007-07-03 . Проверено 18 июня 2009 . CVE спонсируется отделом национальной кибербезопасности Министерства внутренней безопасности США.
^ "CVE - История" . cve.mitre.org . Проверено 25 марта 2020 года .
^ cve.mitre.org . CVE® International по своему охвату и бесплатна для публичного использования, CVE представляет собой словарь общеизвестных уязвимостей и уязвимостей информационной безопасности.
^ "CVE - Органы нумерации CVE" . Корпорация Митра . 2015-02-01 . Проверено 15 ноября 2015 .
^ "CVE OpenSource Request HOWTO" . Red Hat Inc. 2016-11-14 . Проверено 29 мая 2019 . В зависимости от ваших требований есть несколько способов сделать запрос:
^ "CVE - изменение синтаксиса идентификатора CVE" . cve.mitre.org . 13 сентября 2016 г.
^ Решения о содержании абстракции CVE: обоснование и применение
^ "CVE - О CVE" . cve.mitre.org . Проверено 28 июля 2015 .

Внешние ссылки [ править ]

Официальный веб-сайт
Национальная база данных уязвимостей (NVD)
Перечисление общих конфигураций (CCE) в NVD
vFeed База данных коррелированных и агрегированных уязвимостей - База данных SQLite и API Python
База данных уязвимостей Cyberwatch , сторонняя

[1] «CVE - Общие уязвимости и воздействия» . Корпорация Митра . 2007-07-03 . Проверено 18 июня 2009 . CVE спонсируется отделом национальной кибербезопасности Министерства внутренней безопасности США.

[2] "CVE - История" . cve.mitre.org . Проверено 25 марта 2020 года .

[MITRE's_System-3] ve.mitre.org . CVE® International по своему охвату и бесплатна для публичного использования, CVE представляет собой словарь общеизвестных уязвимостей и уязвимостей информационной безопасности.

[4] "CVE - Органы нумерации CVE" . Корпорация Митра . 2015-02-01 . Проверено 15 ноября 2015 .

[5] "CVE OpenSource Request HOWTO" . Red Hat Inc. 2016-11-14 . Проверено 29 мая 2019 . В зависимости от ваших требований есть несколько способов сделать запрос:

[6] "CVE - изменение синтаксиса идентификатора CVE" . cve.mitre.org . 13 сентября 2016 г.

[7] Решения о содержании абстракции CVE: обоснование и применение

[8] "CVE - О CVE" . cve.mitre.org . Проверено 28 июля 2015 .

[1]