Ohiko Ahuleziak eta esposizioak(CVE)

Common Vulnerabilities and Exposures(CVE, euskaraz: ohiko ahultasunak eta esposizioak) sistema bat da, segurtasun ahuleziak eta esposizioak erreferentziatzeko metodoak eskaintzen duenak. Ezagutzen den ahulezi bakoitzarentzat erreferentzia bat gordetzen da zerrendan, eta erreferentzia bakoitzak zenbaki identifikatzaile bat dauka (CVE_ID). Sistema hau AEBko zibersegurtasun nazionaleko FFRDC -k, the MITRE Corporation-ek operatzen duenak Mantentzen du AEBko segurtasun nazionalaren finantziazioaren laguntzaz.

Sistema honetan agertzen diren IDak AEBko ahulezi datu base nazionalean agertzen diren berdinak dira.

MITRE Corporation-en arabera: CVE sistemaren identifikadoreak bakarrak dira publikoki ezagutzen diren informazioaren segurtasunaren ahulezientzat. Hasiera batean identifikadoreek 2 estatu zeuzkaten: Hautagaiak ("CAN-" aurrizkiarekin identifikatuta) izan zitekeen, eta ondoren CVE ("CVE-" atzizikarekin) izatera pasatzen ziren, baina 2005 urtetik hona praktika hau ez da jarraitu izan. Gaur egun identifikadore guztiak CVE moduan aurkezten dira. Hala ere, CVE-id baten izendatzeak ez du esan nahi identifikadore ofizialean bihurtuko denik(Baliteke CVE kode bat ahulezia ez den arazo bati esleitzea, edota jada identifikadore bat esleituta daukan ahulezia bati esleitzea).

CVE kodeek formatu jakin bat jarraitu behar dute : CVE-uuuu-zzzz non uuuu argitaratu zen urtea da, eta zzzz ahuleziaren zenbakia, adibidez 2017an argitaratutako 1921. ahuleziak kode hau izango luke: CVE-2017-1921.

CVE zenbakiak esleitzeko ardudaruna CVE zenbakitze-agintaritza(CNA) da. Hasiera batean bazeuden lan hauek egiten zuten hainbat agente, hau da, CNA bezala pate hartzen zutenak, baina 2005ean izena eta izendapena egin zen.

3 CNA mota nagusi daude:

• MITRE korporazioa, CNA nagusia da.
• Garapen-konpania batzuk bere produktuentzako CVE esleipenak egiten dituzte.
• Beste CNA-k betetzen ez dituzten produktuentzako kanpo koordinatzaile bat arduratzen da CVE-zenbaki esleipenaz.

Ahulezi bat ikertzerakoan, erabilgarria izaten da ahalik eta azkarren CVE-identifikadore bat jartzea. Baliteke identifikadore hori ez agertzea MITRE-ko datu basean denbora batean (baliteke ahuleziaren arazoa oraindik publikoa ez izatea, edota MITRE-k ez duela ikertzen baliabide arazo bat dela eta. Hala ere, erabilgarria da lehen bait lehen esleipena egitea, modu horretan etorkizuneko korrespontzia guztia CVE kodeari erreferentzia egin ahal dio.

Problemen deskribapen estandarizatu bat da. Deskribapen honetan "ERRESERBATUTA" etiketa ager daiteke, etiketa hau jarriko da aldez aurretik CVE kodea eskatzen denean, baina arazoa ez denean publiko egin eta MITRE-k ez duenean arazoa ikertu. Hau da, CVE kodea eskatuta dagoenean baina ez denenan ofizialki esleituta izan.

Hemen erregistroa sortu zen data gordetzen da, baina erregistroaren sortzailearen arabera data ezberdina gordetzen da: MITRE-k zuzenean gordetako erregistroak, sortuak izan zirenaren data agertuko da. CNA batez sortutako erregistroentzat, aldiz, gordeko den data da MITRE erregistroa sortzen duen eguna gordetzen da, ez CNA-k sortutakoa.

Eremu honetan ahuleziak zein software bertsioei eragiten dion agertzen da

Existizen bada, ahulezia sahiesteko soluzioak proposatuko dira.

Garai batean erabilitako eremuak, gaur egun erabiltzen ez direnak:

• Fasea: Zein fasean aurkitzen zen erregistroa (CAN edo CVE)
• Bozketa: Hautagaiak CVE izan behar zen ala ez bozkatzen zen, eremu honetan bozkapen horien emaitzak agertzen ziren
• Iruzkinak
• Proposatua: Erregistroa proposatua izan zenaren data

Baliteke CVE kode bat esleitu nahi izatea segurtasun arazo bat dela eta, baina honek eragitea CVE kode multzo oso handi bat sortzea(adibidez /tmp fitxategi ez seguruen sorkuntza gerta daiteke)

Horri aurre egiteko, gidalerroek ahuleziak CVE berean batzen dituzte ahuleziak, edo CVE zenbaki ezberdinetan zatitzen dituzte. Lehenik ahuleziak batzen(MERGE) dira, eta ondoren hainbat parametroen arabera zatitzen(SPLIT) joaten dira: ziurgarritasun motaren arabera(bufferraren gainezka edo pilaren gainezka) eragiten dion software bertsioaren arabera, eta azkenik nork eman duen abisuaren arabera(adibidez Anek gai baten berri eman badu eta Josuk beste baten inguruan,SPLIT egingo da).

Adibide bat Aneren kasua da, nor ExampleSoft nabigatzailean 1.2.3 bertsioan eta aurrekoetan /tmp sortzeko ahultasun bat jakinarazten duen; gainera, beste hainbat /tmp sortzearekin lotutako arazoak ere badaude. Kasu batzuetan, bi jakinarazle daudela kontuan hartu daiteke (eta, beraz, bi CVE independenteetan SPLIT egin daiteke), edo Ane ExampleSoft-en lan egiten badu eta ExampleSoft-en barruko talde batek gainerako arazoak aurkitzen baditu, kasu horretan guztiak MERGE egingo litzake CVE bakar batean.