Vanlige sårbarheter og eksponeringer
CVE ( engelsk Common Vulnerabilities and Exposures ) er en database med kjente sårbarheter i informasjonssikkerhet . Hver sårbarhet tildeles et identifikasjonsnummer i formen CVE-årnummer [1] , en beskrivelse og en rekke offentlig tilgjengelige lenker med beskrivelse.
CVE vedlikeholdes av MITER -organisasjonen .
CVE-prosjektet er finansiert av US-CERT .
Funksjoner
- Én identifikator for én sårbarhet.
- Standardisert beskrivelse av sårbarheter.
- Gratis nedlasting og bruk.
Historie
CVE-prosjektet ble offisielt lansert for publikum i september 1999. På den tiden brukte de fleste informasjonssikkerhetsverktøy sine egne databaser med egne navn for sårbarheter. Det var betydelige forskjeller mellom produktene, og det var ingen enkel måte å finne ut når forskjellige databaser refererte til det samme problemet. Konsekvensene var potensielle hull i sikkerhetsdekning og mangel på kompatibilitet mellom ulike databaser og verktøy. I tillegg telte verktøyleverandører antall sårbarheter de fant forskjellig.
Generell oversikt over posten
Ser slik ut: CVE ID, Reference og Description
ID-en skrives med årstall og serienummer, for eksempel "CVE-2017-5754". Referansefeltet inneholder lenker til oppdateringer, rådgivende dokumenter eller utviklerkommentarer. Beskrivelse er ansvarlig for å beskrive selve sårbarheten. CVE er et bredt basert system og fokuserer ikke kun på sårbarheter på klientsiden eller kun på WEB-protokollen. Opprinnelig ble den tenkt som en enkelt standard for å identifisere sårbarheter, som skulle dekke flere deler av et informasjonssystem: et system for å søke og oppdage hull (for eksempel en sikkerhetsskanner), antivirusprogramvare og programvare under etterforskning.
Eksempler
- Nedsmelting : CVE-2017-5754
- Spectre : CVE-2017-5753, CVE-2017-5715
- BlueBorne : CVE-2017-1000251, CVE-2017-1000250, CVE-2017-0785, CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-62017, CVE-2017,-17
Alternativer
- Sikkerhetsfokus BID;
- OSVDB(Open Sourced Vulnerability Database) - "en åpen database med sårbarheter" opprettet av tre ideelle organisasjoner . Sluttet å jobbe 5. april 2016. Bloggen fortsetter å fungere;
- Secunia - et tape av sårbarheter til det velkjente danske selskapet Secunia innen data- og nettverkssikkerhet;
- IBM ISS X Force.
Det finnes også andre klassifiserere. Når du arbeider med dem, bør du være oppmerksom på forfatterne, siden hvert klassifiseringssystem må opprettes av eksperter innen informasjonssikkerhet.
Se også
- Common Weakness Enumeration (CWE) er et klassifiseringssystem for feil som fører til sårbarheter.
- Databank over trusler om informasjonssikkerhet fra FSTEC i Den russiske føderasjonen
- Sårbarhetsklassifiserere
Merknader
- ↑ Eksperter foreslår tre nye måter å tildele CVE-nummer til sårbarheter . Hentet 5. januar 2018. Arkivert fra originalen 6. januar 2018.
Lenker
- cve.org - offisiell side for CVE
- https://cve.mitre.org/cve/data_sources.html
- https://cve.mitre.org/about/faqs.html
- Måling av sårbarheter: klassifiserere og beregninger av databrudd — Hacker Magazine 15.05.2009