Уобичајене рањивости и изложености

Систем уобичајених рањивости и изложености (CVE) пружа референтну методу за јавно познате рањивости и изложености информационе сигурности. Национална кибернетичка сигурност (National Cybersecurity FFRDC), којом управља The MITRE Corporation, одржава систем, а финансира га Одељење за националну кибернетску безбедност (National Cyber Security Division) Министарства за националну безбедност Сједињених Држава. [1] Систем је званично покренут за јавност у септембру 1999. [2]

Logo

Протокол за аутоматизацију безбедносног садржаја (Security Content Automation Protocol) користи CVE, а CVE ID-јеви (идентификатори) су наведени у МИТРЕ-овом систему [3] као и у америчкој националној бази података о рањивости (National Vulnerability Database).

CVE идентификатори

уреди

Документација корпорације "MITRE" дефинише CVE идентификаторе (који се такође називају и „CVE имена“, „CVE бројеви“, „CVE-ID-јеви“ и „CVE-јеви“) као јединствене, уобичајене идентификаторе за јавно познате рањивости информационе безбедности у јавно објављеним софтверским пакетима. Историјски гледано, идентификатори CVE имали су статус "кандидата" ("CAN-"), а затим би могли бити унапређени у уносе ("CVE-"), међутим ова пракса је прекинута пре извесног времена[када?] и сви идентификатори су сада додељени као CVE. Додела CVE броја није гаранција да ће постати службени CVE унос (нпр. CVE може бити непрописно додељен издању које није сигурносна рањивост или које дуплира постојећи унос).

CVE је додељен органом за нумерирање CVE (CVE Numbering Authority (CNA)); [4] постоје три примарна типа додељивања броја CVE:

  1. MITRE корпорација функционише као уредник и примарни орган за нумерисање (CNA)
  2. Разни органи за нумерисање додељују CVE бројеве за своје производе (нпр Microsoft, Oracle, HP, Red Hat итд. )
  3. Независни координатор попут CERT Coordination Center-а може доделити CVE бројеве за производе који нису обухваћени другим органима за нумерисање

Када истражујете рањивост или потенцијалну рањивост, помаже вам да се CVE број стекне рано. CVE бројеви можда се неће појавити у базама података MITRE или NVD CVE неко време (данима, недељама, месецима или потенцијално годинама) због проблема који су под ембаргом (CVE број је додељен, али проблем није јавно објављен) или случајеви у којима MITRE не истражује и не уноси унос због проблема са ресурсима. Предност ране кандидатуре за CVE је у томе што се сва будућа преписка може односити на број CVE . Информације о добијању CVE идентификатора за проблеме са пројектима отвореног кода доступне су од Red Hat-а . [5]

CVE-јеви су за софтвер који је јавно објављен; ово може укључивати бета верзије и друге верзије пре издавања уколико су широко коришћене. Комерцијални софтвер је укључен у категорију „јавно објављеног“, међутим, софтвер израђен по мери који није дистрибуиран обично не би добио CVE. Поред тога, услугама (нпр. интернет провајдер електронске поште) нису додељени CVE-јеви за рањивости пронађене у услузи (нпр. XSS рањивост), осим уколико проблем постоји у основном софтверском производу који се јавно дистрибуира.

ЦВЕ поља података

уреди

CVE база података садржи неколико поља:

Опис

уреди

Ово је стандардизовани текстуални опис издања (једног или више). Један уобичајени унос је:

** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

Ово значи да је број уноса резервисао MITRE за издање или је орган за нумерисање резервисао број. Дакле, у случају када орган за нумерисање унапред захтева блок CVE бројева (нпр Red Hat тренутно захтева CVE-јеве у блоковима од 500), CVE број ће бити означен као резервисан иако орган за нумерисање неко време можда неће доделити CVE. Док се не додели CVE, МITRE је о томе обавештен (нпр. ембарго прође и издање буде јавно објављено), а MITRE је истражио проблем и написао његов опис, уноси ће се приказивати као "** RESERVED **".

Референце

уреди

Ово је листа URL-ова (веб адреса) и других информација

Датум стварања записа

уреди

Ово је датум када је унос креиран. За CVE-јеве које је MITRE доделио директно, ово је датум када је MITRE креирао CVE унос. За CVE-јеве које додељују органи за нумерисање (нпр Microsoft, Oracle, HP, Red Hat итд.), ово је такође датум који је креирао MITRE, а не орган за нумерисање.

Застарела поља

уреди

Наредна поља су раније коришћена у старијим CVE записима, али се тренутно не користе.

  • Фаза: Фаза у којој се налази CVE (нпр CAN, CVE).
  • Гласови: Претходно би чланови одбора гласали да или не о томе да ли треба прихватити CAN и претворити га у CVE.
  • Коментари: Коментари на питање.
  • Предложено: Када је питање први пут предложено.

Промене у синтакси

уреди

Да би се подржале CVE ID-јеве након CVE-YEAR-9999 (тзв. CVE10k проблем), извршена је промена у CVE синтакси 2014. године, која је ступила на снагу 13. јануара 2015. [6]

Нова синтакса CVE-ID је променљиве дужине и укључује:

Префикс CVE + година + произвољне цифре

НАПОМЕНА: произвољне цифре променљиве дужине ће започети са четири фиксне цифре и проширити се произвољним цифрама само када је то потребно у календарској години, на пример, CVE-YYYY-NNNN и по потреби CVE-YYYY-NNNNN, CVE-YYYY-NNNNNN и тако даље. То такође значи да неће бити потребе за променом на претходно додељеним CVE-ID-јевима, који сви садрже најмање четири цифре.

CVE SPLIT и MERGE

уреди

CVE покушава да додели један CVE по безбедносном издању, међутим, у многим случајевима то би довело до веома великог броја CVE-јева (нпр. када се у PHP апликацији нађе неколико десетина рањивости скриптирања на више локација због недостатка употребе htmlspecialchars() или несигурно стварање датотека у /tmp ).

Да би се то решило, постоје смернице (подложне променама) које покривају поделу и спајање (split и merge) проблема у посебне CVE бројеве. Као опште смернице, прво треба размотрити проблеме који се спајају, затим проблеме треба поделити према врсти рањивости (нпр. buffer overflow у поређењу са stack overflow-ом ), а затим према погођеној верзији софтвера (нпр. уколико један проблем утиче на верзију 1.3.4 до 2.5.4, а други утиче на верзију 1.3.4 до 2.5.8, они би били подељени (SPLIT)), а затим према репортеру проблема (нпр. Alice пријављује један проблем, а Bob пријављује други проблем, проблеми би били подељени (SPLIT) на засебне CVE бројеве).

Други пример је када Alice извештава о рањивости стварања /tmp датотека у верзији 1.2.3 и старијој верзији веб претраживача ExampleSoft. Поред овог проблема, пронађено је и неколико других проблема при креирању /tmp фајла. У неким случајевима на ово се може гледати као два репортера (и тако се поделити (SPLIT) на два одвојена CVE-ја, или ако Alice ради за ExampleSoft, а ExampleSoft интерни тим пронађе остатак, може се спојити (MERGE) у један CVE). Супротно томе, проблеми се могу спојити, нпр. ако Боб пронађе 145 XSS рањивости у ExamplePlugin-у за ExampleFrameWork, без обзира на погођене верзије, и тако даље, могу се спојити у једну CVE. [7]

Претражите CVE идентификаторе

уреди

MITRE CVE база података може се претраживати у CVE List Search-у, а база података NVD CVE може се претраживати у Search CVE and CCE Vulnerability Database.

CVE употреба

уреди

CVE идентификатори су намењени употреби идентификовања рањивости:

Уобичајене рањивости и изложености (CVE) је речник уобичајених имена (тј. CVE идентификатора) за јавно познате рањивости информационе безбедности. Заједнички CVE идентификатори олакшавају дељење података у одвојеним мрежним базама података и алатима и пружају основу за процену покривености безбедносних алата једне организације. Уколико извештај једног од ваших безбедносних алата садржи CVE идентификаторе, можете брзо и тачно приступити информацијама о поправкама у једној или више засебних база података који су CVE-компатибилни, како бисте решили постојећи проблем. [8]

Корисници којима је додељен CVE идентификатор за рањивост су подстакнути да поставе идентификатор у све повезане безбедносне извештаје, веб странице, електронску пошту итд.

Проблеми са CVE задацима

уреди

Према одељку 7.1 правила органа за нумерисање, добављач који је примио извештај о безбедносној рањивости има пуно дискреционо право у вези с њим. [1] То може довести до сукоба интереса, зато што продавац може покушати да остави недостатке нерешеним тако што ће пре свега одбити CVE задатак - одлуку коју MITRE не може поништити.

Види још

уреди

Референце

уреди
  1. ^ „CVE – Common Vulnerabilities and Exposures”. Mitre Corporation. 2007-07-03. Приступљено 2009-06-18. „CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security. 
  2. ^ „CVE - History”. cve.mitre.org. Приступљено 25. 3. 2020. 
  3. ^ cve.mitre.org. CVE® International in scope and free for public use, CVE is a dictionary of publicly known information security vulnerabilities and exposures.
  4. ^ „CVE - CVE Numbering Authorities”. Mitre Corporation. 2015-02-01. Приступљено 2015-11-15. 
  5. ^ „CVE OpenSource Request HOWTO”. Red Hat Inc. 2016-11-14. Приступљено 2019-05-29. „There are several ways to make a request depending on what your requirements are: 
  6. ^ „CVE - CVE ID Syntax Change”. cve.mitre.org. 13. 9. 2016. 
  7. ^ CVE Abstraction Content Decisions: Rationale and Application
  8. ^ „CVE - About CVE”. cve.mitre.org. Приступљено 2015-07-28. 

Спољашње везе

уреди