Jump to content

Распространенные уязвимости и риски

(Перенаправлено с CVE (идентификатор) )

Система Common Vulnerabilities and Exposures ( CVE ) предоставляет эталонный метод для общеизвестных и угроз информационной безопасности уязвимостей . [1] Национальная служба кибербезопасности США FFRDC , управляемая корпорацией MITRE , поддерживает систему при финансовой поддержке Отдела национальной кибербезопасности США Министерства внутренней безопасности США . [2] Система была официально представлена ​​для общественности в сентябре 1999 года. [3]

Протокол автоматизации контента безопасности использует CVE, и идентификаторы CVE указаны в системе Mitre, а также в Национальной базе данных уязвимостей США . [4]

Идентификаторы CVE [ править ]

В документации корпорации MITRE идентификаторы CVE (также называемые «именами CVE», «номерами CVE», «идентификаторами CVE» и «CVE») являются уникальными общими идентификаторами общеизвестных уязвимостей информационной безопасности в общедоступных пакетах программного обеспечения. Исторически идентификаторы CVE имели статус «кандидата» («CAN-») и затем могли быть повышены до записей («CVE-»), но эта практика была прекращена в 2005 году. [5] [6] и все идентификаторы теперь назначены как CVE. Присвоение номера CVE не является гарантией того, что он станет официальной записью CVE (например, CVE может быть ошибочно присвоен проблеме, которая не является уязвимостью безопасности или которая дублирует существующую запись).

CVE присваиваются Органом нумерации CVE (CNA). [7] Хотя некоторые поставщики и раньше выступали в роли CNA, название и обозначение были созданы только 1 февраля 2005 года. [8] Существует три основных типа присвоения номеров CVE:

  1. Корпорация Mitre выступает в качестве редактора и основного CNA.
  2. Различные CNA присваивают номера CVE своим продуктам (например, Microsoft, Oracle, HP, Red Hat).
  3. Сторонний координатор, такой как Координационный центр CERT, может присваивать номера CVE продуктам, не подпадающим под действие других CNA.

При исследовании уязвимости или потенциальной уязвимости полезно заранее получить номер CVE. Номера CVE могут не появляться в базах данных CVE MITRE или NVD в течение некоторого времени (дней, недель, месяцев или, возможно, лет) из-за проблем, на которые наложено эмбарго (номер CVE был присвоен, но проблема не была обнародована) или случаи, когда MITRE не исследует и не записывает запись из-за проблем с ресурсами. Преимущество ранней подачи заявки на CVE заключается в том, что вся будущая корреспонденция может ссылаться на номер CVE. Информацию о получении идентификаторов CVE для устранения проблем с проектами с открытым исходным кодом можно получить на сайте Red Hat. [9] и ГитХаб . [10]

CVE предназначены для публично выпущенного программного обеспечения; сюда могут относиться бета-версии и другие предварительные версии, если они широко используются. Коммерческое программное обеспечение включено в категорию «публично выпущенных», но специально созданное программное обеспечение, которое не распространяется, как правило, не получает CVE. Кроме того, службам (например, веб-провайдеру электронной почты) не присваиваются сертификаты CVE за уязвимости, обнаруженные в службе (например, XSS-уязвимость), за исключением случаев, когда проблема существует в базовом программном продукте, который распространяется публично.

Поля данных CVE [ править ]

База данных CVE содержит несколько полей:

Описание [ править ]

Это стандартизированное текстовое описание проблемы(й). Одна общая запись:

** ЗАРЕЗЕРВИРОВАНО ** Этот кандидат зарезервирован организацией или частным лицом, которое будет использовать его при объявлении о новой проблеме безопасности. Когда кандидат будет опубликован, будут предоставлены подробные сведения об этом кандидате.

Это означает, что номер записи был зарезервирован Mitre для проблемы или CNA зарезервировал этот номер. Таким образом, когда CNA заранее запрашивает блок номеров CVE (например, Red Hat в настоящее время запрашивает CVE блоками по 500), номер CVE будет помечен как зарезервированный, даже если сам CVE может не быть назначен CNA в течение некоторого времени. Пока CVE не назначен, Mitre не уведомлен об этом (т. е. пока эмбарго не пройдет и проблема не будет обнародована), а Mitre не изучит проблему и не напишет ее описание, записи будут отображаться как «** ЗАРЕЗЕРВИРОВАНО ** ".

Дата создания записи [ править ]

Это дата создания записи. Для CVE, назначенных непосредственно Mitre, это дата, когда Mitre создал запись CVE. Для CVE, присвоенных CNA (например, Microsoft, Oracle, HP, Red Hat), это также дата создания Mitre, а не CNA. Когда CNA заранее запрашивает блок номеров CVE (например, Red Hat в настоящее время запрашивает CVE блоками по 500), дата входа CVE назначается CNA.

Устаревшие поля [ править ]

Следующие поля ранее использовались в записях CVE, но больше не используются.

  • Фаза: фаза, в которой находится CVE (например, CAN, CVE).
  • Голосование: раньше члены правления голосовали за или против того, следует ли принять CAN и превратить его в CVE.
  • Комментарии: Комментарии по вопросу.
  • Предложено: Когда проблема была впервые предложена.

Изменения в синтаксисе [ править ]

Для поддержки идентификаторов CVE после CVE-YEAR-9999 (также известного как «проблема CVE10k» [11] ) изменение синтаксиса CVE было внесено в 2014 году и вступило в силу 13 января 2015 года. [12]

Новый синтаксис CVE-ID имеет переменную длину и включает в себя:

Префикс CVE + год + произвольные цифры

Произвольные цифры переменной длины начинаются с четырех фиксированных цифр и расширяются произвольными цифрами только при необходимости в течение календарного года; например, CVE-YYYY-NNNN и, если необходимо, CVE-YYYY-NNNNNN, CVE-YYYY-NNNNNN и так далее. Это также означает, что не потребуется никаких изменений в ранее назначенных CVE-ID, которые состоят как минимум из четырех цифр.

CVE SPLIT и MERGE [ править ]

CVE пытается назначить один CVE для каждой проблемы безопасности; однако во многих случаях это может привести к чрезвычайно большому количеству CVE (например, когда в приложении PHP обнаружено несколько десятков уязвимостей межсайтового скриптинга из-за отсутствия использования htmlspecialchars() или небезопасное создание файлов в /tmp). [13]

Чтобы решить эту проблему, рекомендации (могут быть изменены) предусматривают разделение и объединение проблем в отдельные номера CVE. В качестве общего правила следует сначала рассмотреть проблемы, подлежащие объединению, затем проблемы следует разделить по типу уязвимости (например, переполнение буфера или переполнение стека ), а затем по затронутой версии программного обеспечения (например, если одна проблема затрагивает версию 1.3). .4–2.5.4, а другие влияют на 1.3.4–2.5.8, они будут РАЗДЕЛЕНЫ), а затем отправителем сообщения о проблеме (например, если Алиса сообщает об одной проблеме, а Боб сообщает о другой проблеме, проблемы будут РАЗДЕЛЕНЫ на отдельные номера CVE). [13]

Другой пример: Алиса сообщает об уязвимости создания файла /tmp в веб-браузере exampleSoft версии 1.2.3 и более ранних версиях; помимо этого вопроса, еще несколько /tmp Обнаружены проблемы с созданием файлов. В некоторых случаях это можно рассматривать как два репортера (и, таким образом, РАЗДЕЛИТЬ их на два отдельных CVE, или, если Алиса работает в exampleSoft, а внутренняя команда exampleSoft обнаружит остальных, их можно ОБЪЕДИНИТЬ в один CVE). И наоборот, проблемы можно объединить, например, если Боб обнаружит 145 XSS-уязвимостей в плагине examplePlugin для exampleFrameWork независимо от затронутых версий и т. д., они могут быть объединены в один CVE. [13]

Поиск идентификаторов CVE [ править ]

В базе данных Mitre CVE можно найти поиск по списку CVE , а в базе данных NVD CVE — поиск по базе данных CVE и CCE Vulnerability Database .

Использование CVE [ править ]

Идентификаторы CVE предназначены для использования при выявлении уязвимостей:

Общие уязвимости и воздействия (CVE) — это словарь общих имен (т. е. идентификаторов CVE) для общеизвестных уязвимостей информационной безопасности. Общие идентификаторы CVE упрощают обмен данными между отдельными базами данных и инструментами сетевой безопасности, а также обеспечивают основу для оценки охвата инструментов безопасности организации. Если отчет одного из ваших инструментов безопасности включает идентификаторы CVE, вы можете быстро и точно получить доступ к информации об исправлениях в одной или нескольких отдельных CVE-совместимых базах данных, чтобы устранить проблему. [14]

Пользователям, которым был присвоен идентификатор CVE для уязвимости, рекомендуется убедиться, что они размещают этот идентификатор во всех связанных отчетах о безопасности, веб-страницах, электронных письмах и т. д.

Проблемы с назначением CVE [ править ]

Согласно разделу 7 Правил CNA, поставщик, получивший сообщение об уязвимости безопасности, имеет полную свободу действий в отношении этого. [15] Это может привести к конфликту интересов, поскольку поставщик может попытаться оставить недостатки неисправленными, сначала отказав в назначении CVE — решение, которое Mitre не может отменить. Проект «!CVE» (не CVE), анонсированный в 2023 году, направлен на сбор уязвимостей, которые отрицаются поставщиками, при условии, что группа экспертов проекта считает их действительными. [16]

Идентификаторы CVE присуждаются за фиктивные проблемы и проблемы, не имеющие последствий для безопасности. [17] В ответ ряд проектов с открытым исходным кодом сами подали заявки на получение статуса органа нумерации CVE (CNA) своего собственного проекта. [18]

См. также [ править ]

Ссылки [ править ]

  1. ^ У, Сяосюэ; Чжэн, Вэй; Чен, Сян; Ван, Фанг; Му, Деджун (2020). «Метод построения крупномасштабного набора данных для отчетов об ошибках безопасности с помощью CVE» . Журнал систем и программного обеспечения . 160 : 110456. дои : 10.1016/j.jss.2019.110456 . S2CID   209056007 .
  2. ^ «CVE — распространенные уязвимости и риски» . Корпорация Митра . 3 июля 2007 года . Проверено 18 июня 2009 г. CVE спонсируется Национальным отделом кибербезопасности Министерства внутренней безопасности США.
  3. ^ «CVE — История» . cve.mitre.org . Проверено 25 марта 2020 г.
  4. ^ «CVE — Распространенные уязвимости и риски (CVE)» . cve.mitre.org . Архивировано из оригинала 7 апреля 2013 года . Проверено 8 апреля 2013 г.
  5. ^ «CVE — Часто задаваемые вопросы» . cve.mitre.org . Проверено 1 сентября 2021 г.
  6. ^ Коунс, Джейк (13 августа 2009 г.). «Просмотр(4) CVE» . ОСВДБ: Всё уязвимо . Архивировано из оригинала 1 сентября 2021 года . Проверено 1 сентября 2021 г.
  7. ^ «CVE — Центры нумерации CVE» . Корпорация Митра . 1 февраля 2015 года . Проверено 5 марта 2024 г.
  8. ^ «CVE - Блог CVE «Наша история CVE: древняя история программы CVE – имелось ли в Центре реагирования безопасности Microsoft предвидение?» (приглашенный автор)» . cve.mitre.org . Проверено 17 сентября 2021 г.
  9. ^ «HOWTO по запросу CVE OpenSource» . Red Hat Inc., 14 ноября 2016 г. Проверено 29 мая 2019 г. Сделать запрос можно несколькими способами в зависимости от ваших требований:
  10. ^ «О рекомендациях по безопасности GitHub» . Гитхаб . Проверено 23 декабря 2021 г. Рекомендации по безопасности GitHub основаны на списке распространенных уязвимостей и уязвимостей (CVE).
  11. ^ Кристи, Стивен М. (12 января 2007 г.). «CVE — проблема CVE-10K» . cve.mitre.org . Корпорация МИТЕР . Проверено 25 ноября 2023 г.
  12. ^ «CVE — Изменение синтаксиса идентификатора CVE» . cve.mitre.org . 13 сентября 2016 г.
  13. ^ Перейти обратно: а б с «Решения по содержанию абстракции CVE: обоснование и применение (в архиве)» . Корпорация Митра . 15 июня 2005 г. Проверено 6 января 2024 г.
  14. ^ «CVE — О CVE» . cve.mitre.org . Проверено 28 июля 2015 г.
  15. ^ «Правила нумерационного органа CVE — правила назначения» (PDF) . Корпорация МИТЕР. 1 февраля 2020 г. стр. 13–15 . Проверено 6 декабря 2023 г.
  16. ^ Эдж, Джейк (5 декабря 2023 г.). «Дополнение CVE с помощью !CVE» . lwn.net .
  17. ^ Эдж, Джейк (13 сентября 2023 г.). «Фальшивая проблема CVE» . lwn.net .
  18. ^ «Поворотный момент для показателей CVE» . LWN.net . 14 февраля 2024 г.

Внешние ссылки [ править ]

Retrieved from "https://en.wikipedia.org/w/index.php?title=Common_Vulnerabilities_and_Exposures&oldid=1229516066"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 25d5bdcb5c9ff45b7bba73d812230eff__1718597160
URL1:https://arc.ask3.ru/arc/aa/25/ff/25d5bdcb5c9ff45b7bba73d812230eff.html
Заголовок, (Title) документа по адресу, URL1:
Common Vulnerabilities and Exposures - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)