Przejdź do zawartości

Common Vulnerabilities and Exposures

Z Wikipedii, wolnej encyklopedii
Logo

Common Vulnerabilities and Exposures – słownik identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom, a także standard ich nazewnictwa. Program ten jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i jest zarządzany przez korporację MITRE(inne języki)[1].

13 marca 2018 roku słownik zawierał 97674 identyfikatory.

Alternatywną bazę danych podatności dla systemów ICS (Industrial Control Systems) prowadzi CISA[2].

Kategoryzacja

[edytuj | edytuj kod]

W systemie istnieje rozróżnienie pomiędzy podatnościami (ang. vulnerabilities), które w sposób bezpośredni mogą doprowadzić do kompromitacji systemu, oraz zagrożeniami (ang. exposures), które do kompromitacji mogą doprowadzić w sposób pośredni[3]. Zagrożenie jest związane z naruszeniem polityki bezpieczeństwa, co może, ale nie musi, natychmiastowo prowadzić do kompromitacji systemu. Jest to więc pojęcie ogólniejsze, wprowadzone w celu możliwości odnotowywania w zestawieniu pewnych sytuacji, które – choć nie prowadzą bezpośrednio do włamania – intuicyjnie mogą okazać się sprzyjające dla włamywacza, a więc powinny być formalnie zabronione przez racjonalną politykę bezpieczeństwa[4]. Błędy te kategoryzowane są zgodnie z poniższymi kryteriami.

Podatności

[edytuj | edytuj kod]
  • pozwalają włamywaczowi na wykonywanie poleceń jako inny użytkownik
  • pozwalają włamywaczowi na nieuprawniony dostęp do danych
  • pozwalają włamywaczowi podszywać się pod inny podmiot
  • pozwalają włamywaczowi przeprowadzić atak DoS (ang. denial of service)

Zagrożenia

[edytuj | edytuj kod]
  • pozwalają włamywaczowi ukryć swoją aktywność
  • pozwalają włamywaczowi na zbieranie informacji dotyczących aktywności
  • obejmują funkcję, która zachowuje się w oczekiwany sposób, ale może być łatwo naruszona
  • jest podstawowym punktem, w którym atakujący może próbować uzyskać dostęp do systemu lub danych
  • są rozważane jako błędy naruszające politykę bezpieczeństwa[5]

Identyfikatory

[edytuj | edytuj kod]

Identyfikatory są unikatowe, dzięki czemu można łatwo stwierdzić, o jaką podatność chodzi. Można też łączyć wyniki z różnych narzędzi, które korzystają ze standardu CVE. W takim przypadku wersje językowe oraz nazewnictwo zależne od producentów przestaje grać rolę[6].

Każdy wpis w słowniku zawiera:

  • Identyfikator CVE np. „CVE-1999-0067”, „CVE-2014-12345”, „CVE-2014-7654321”
  • Krótki opis podatności lub zagrożenia
  • Odniesienia, takie jak identyfikatory w innych systemach standaryzacyjnych, i istotne źródła do zewnętrznych stron[7]

1 stycznia 2014 roku zmienił się format identyfikatorów, pozwalający w ciągu całego roku zapisać ponad 10000 wpisów w słowniku, niwelując wcześniejsze ograniczenie do 9999 identyfikatorów[8].

Przypisy

[edytuj | edytuj kod]
  1. słowniczek pojęć na stronie Javy.
  2. ICS-CERT Advisories | CISA [online], cisa.gov [dostęp 2021-07-17] (ang.).
  3. PL-Grid Monitorowanie bezpieczeństwa.
  4. secure.edu.pl. secure.edu.pl. [zarchiwizowane z tego adresu (2014-08-26)]..
  5. cve.mitre.org/terminology.
  6. metryki-w-bezpieczenstwie. bs.net.pl. [zarchiwizowane z tego adresu (2014-11-04)]..
  7. identifiers.
  8. syntax change.