Vulnerabilidades e exposições comuns - Common Vulnerabilities and Exposures

O sistema Common Vulnerabilities and Exposures ( CVE ) fornece um método de referência para vulnerabilidades e exposições de segurança da informação publicamente conhecidas . O FFRDC de Segurança Cibernética Nacional dos Estados Unidos , operado pela The Mitre Corporation , mantém o sistema, com financiamento da Divisão de Segurança Cibernética Nacional dos EUA do Departamento de Segurança Interna dos EUA. O sistema foi lançado oficialmente para o público em setembro de 1999.

O Protocolo de Automação de Conteúdo de Segurança usa CVE, e os IDs de CVE estão listados no sistema de Mitre, bem como no Banco de Dados de Vulnerabilidade Nacional dos EUA .

Identificadores CVE

A documentação da MITER Corporation define identificadores CVE (também chamados de "nomes CVE", "números CVE", "CVE-IDs" e "CVEs") como identificadores comuns exclusivos para vulnerabilidades de segurança da informação publicamente conhecidas em pacotes de software lançados publicamente. Historicamente, os identificadores CVE tinham um status de "candidato" ("CAN-") e podiam ser promovidos a entradas ("CVE-"); no entanto, essa prática foi encerrada em 2005 e todos os identificadores agora são atribuídos como CVEs. A atribuição de um número CVE não é uma garantia de que se tornará uma entrada CVE oficial (por exemplo, um CVE pode ser atribuído incorretamente a um problema que não é uma vulnerabilidade de segurança ou que duplica uma entrada existente).

Os CVEs são atribuídos por uma Autoridade de Numeração CVE (CNA). Embora alguns fornecedores atuassem como CNA antes, o nome e a designação não foram criados até 1º de fevereiro de 2005. Existem três tipos principais de atribuição de números CVE:

1. A Mitre Corporation atua como Editor e CNA Principal
2. Vários CNAs atribuem números CVE para seus próprios produtos (por exemplo, Microsoft, Oracle, HP, Red Hat, etc.)
3. Um coordenador terceirizado, como o Centro de Coordenação CERT, pode atribuir números CVE para produtos não cobertos por outros CNAs

Ao investigar uma vulnerabilidade ou vulnerabilidade potencial, é útil adquirir um número CVE desde o início. Os números CVE podem não aparecer nos bancos de dados MITER ou NVD CVE por algum tempo (dias, semanas, meses ou potencialmente anos) devido a problemas que estão embargados (o número CVE foi atribuído, mas o problema não foi tornado público), ou em casos em que a entrada não é pesquisada e redigida pelo MITER devido a problemas de recursos. O benefício da candidatura CVE antecipada é que toda correspondência futura pode se referir ao número CVE. Informações sobre como obter identificadores CVE para problemas com projetos de código aberto estão disponíveis no Red Hat .

CVEs são para software que foi lançado publicamente; isso pode incluir betas e outras versões de pré-lançamento, se forem amplamente utilizadas. O software comercial está incluído na categoria "lançado publicamente"; no entanto, o software personalizado que não é distribuído geralmente não recebe um CVE. Além disso, os serviços (por exemplo, um provedor de e-mail baseado na Web) não recebem CVEs para vulnerabilidades encontradas no serviço (por exemplo, uma vulnerabilidade XSS), a menos que o problema exista em um produto de software subjacente que seja distribuído publicamente.

Campos de dados CVE

O banco de dados CVE contém vários campos:

Descrição

Esta é uma descrição de texto padronizada do (s) problema (s). Uma entrada comum é:

** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

Isso significa que o número de entrada foi reservado por Mitre para uma edição ou um CNA reservou o número. Portanto, no caso em que um CNA solicita um bloco de números CVE com antecedência (por exemplo, a Red Hat atualmente solicita CVEs em blocos de 500), o número CVE será marcado como reservado, embora o próprio CVE não possa ser atribuído pelo CNA para alguns Tempo. Até que o CVE seja atribuído, Mitre é informado (ou seja, o embargo é aprovado e o problema é tornado público) e Mitre pesquisou o problema e escreveu uma descrição dele, as entradas aparecerão como "** RESERVADO ** "

Referências

Esta é uma lista de URLs e outras informações

Data de Criação de Registro

Esta é a data em que a entrada foi criada. Para CVEs atribuídos diretamente por Mitre, esta é a data em que Mitre criou a entrada CVE. Para CVEs atribuídos por CNAs (por exemplo, Microsoft, Oracle, HP, Red Hat, etc.), esta também é a data que foi criada por Mitre, não pelo CNA. O caso em que um CNA solicita um bloco de números CVE com antecedência (por exemplo, a Red Hat atualmente solicita CVEs em blocos de 500), a data de entrada em que o CVE é atribuído ao CNA.

Campos obsoletos

Os campos a seguir foram usados ​​anteriormente em registros CVE mais antigos, mas não são mais usados.

• Fase: A fase em que o CVE está (por exemplo, CAN, CVE).
• Votos: Anteriormente, os membros do conselho votariam sim ou não se o CAN deveria ou não ser aceito e transformado em CVE.
• Comentários: comentários sobre o assunto.
• Proposta: Quando o problema foi proposto pela primeira vez.

Mudanças na sintaxe

A fim de oferecer suporte a IDs CVE além de CVE-YEAR-9999 (também conhecido como o problema CVE10k), uma alteração foi feita na sintaxe CVE em 2014 e entrou em vigor em 13 de janeiro de 2015.

A nova sintaxe CVE-ID tem comprimento variável e inclui:

Prefixo CVE + Ano + Dígitos Arbitrários

NOTA: Os dígitos arbitrários de comprimento variável começarão com quatro dígitos fixos e se expandirão com dígitos arbitrários apenas quando necessário em um ano civil, por exemplo, CVE-YYYY-NNNN e se necessário CVE-YYYY-NNNNN, CVE-YYYY-NNNNNN, e em breve. Isso também significa que não haverá necessidade de alterações nos CVE-IDs atribuídos anteriormente, que incluem um mínimo de quatro dígitos.

CVE SPLIT e MERGE

O CVE tenta atribuir um CVE por problema de segurança, no entanto, em muitos casos, isso levaria a um número extremamente grande de CVEs (por exemplo, onde várias dezenas de vulnerabilidades de cross-site scripting são encontradas em um aplicativo PHP devido à falta de uso htmlspecialchars()ou à criação insegura de arquivos em /tmp).

Para lidar com isso, existem diretrizes (sujeitas a alterações) que cobrem a divisão e fusão de questões em números CVE distintos. Como orientação geral, deve-se primeiro considerar os problemas a serem mesclados, então os problemas devem ser divididos pelo tipo de vulnerabilidade (por exemplo, estouro de buffer vs. estouro de pilha ) e, em seguida, pela versão do software afetada (por exemplo, se um problema afeta a versão 1.3.4 até 2.5.4 e os outros afetam 1.3.4 a 2.5.8 eles seriam SPLIT) e então pelo relator do problema (por exemplo, Alice relata um problema e Bob relata outro, os problemas seriam DIVIDIDOS em números CVE separados).

Outro exemplo é Alice relata uma vulnerabilidade de criação de arquivo / tmp na versão 1.2.3 e anterior do navegador da web ExampleSoft, além desse problema, vários outros /tmpproblemas de criação de arquivo são encontrados, em alguns casos, isso pode ser considerado como dois repórteres (e, portanto, SPLIT em dois CVEs separados, ou se Alice trabalhar para ExampleSoft e uma equipe interna da ExampleSoft encontrar o resto, ele pode ser MERGE'ed em um único CVE). Por outro lado, os problemas podem ser mesclados, por exemplo, se Bob encontrar 145 vulnerabilidades XSS em ExamplePlugin para ExampleFrameWork, independentemente das versões afetadas e assim por diante, eles podem ser mesclados em um único CVE.

Identificadores de pesquisa CVE

O banco de dados Mitre CVE pode ser pesquisado no CVE List Search , e o banco de dados NVD CVE pode ser pesquisado em Search CVE e CCE Vulnerability Database .

Uso CVE

Os identificadores CVE devem ser usados ​​com relação à identificação de vulnerabilidades:

Vulnerabilidades e exposições comuns (CVE) é um dicionário de nomes comuns (ou seja, identificadores CVE) para vulnerabilidades de segurança da informação publicamente conhecidas. Os identificadores comuns do CVE facilitam o compartilhamento de dados entre bancos de dados e ferramentas de segurança de rede separados e fornecem uma linha de base para avaliar a cobertura das ferramentas de segurança de uma organização. Se um relatório de uma de suas ferramentas de segurança incorporar identificadores CVE, você poderá acessar informações de correção de forma rápida e precisa em um ou mais bancos de dados compatíveis com CVE separados para remediar o problema.

Os usuários que receberam um identificador CVE para uma vulnerabilidade são incentivados a garantir que eles coloquem o identificador em quaisquer relatórios de segurança relacionados, páginas da web, e-mails e assim por diante.

Problemas de atribuições CVE

De acordo com a seção 7.1 das Regras CNA, um fornecedor que recebeu um relatório sobre uma vulnerabilidade de segurança tem total arbítrio em relação a ela. [1] Isso pode levar a um conflito de interesses, pois um fornecedor pode tentar deixar as falhas sem correção ao negar uma Atribuição CVE em primeiro lugar - uma decisão que Mitre não pode reverter.

Veja também

• Sistema de pontuação de vulnerabilidade comum (CVSS)
• Enumeração de fraqueza comum (CWE)
• Segurança informática

Referências

links externos

• Website oficial
• National Vulnerability Database (NVD)
• Enumeração de configuração comum (CCE) no NVD
• vFeed the Correlated and Aggregated Vulnerability Database - SQLite Database and Python API
• Banco de dados de vulnerabilidades do Cyberwatch , terceiro
• O que as empresas precisam saber sobre os serviços de auditoria de segurança de TI?