Common Vulnerabilities and Exposures
Common Vulnerabilities and Exposures – słownik identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom, a także standard ich nazewnictwa. Program ten jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i jest zarządzany przez korporację MITRE[1].
13 marca 2018 roku słownik zawierał 97674 identyfikatory.
Alternatywną bazę danych podatności dla systemów ICS (Industrial Control Systems) prowadzi CISA[2].
Kategoryzacja
[edytuj | edytuj kod]W systemie istnieje rozróżnienie pomiędzy podatnościami (ang. vulnerabilities), które w sposób bezpośredni mogą doprowadzić do kompromitacji systemu, oraz zagrożeniami (ang. exposures), które do kompromitacji mogą doprowadzić w sposób pośredni[3]. Zagrożenie jest związane z naruszeniem polityki bezpieczeństwa, co może, ale nie musi, natychmiastowo prowadzić do kompromitacji systemu. Jest to więc pojęcie ogólniejsze, wprowadzone w celu możliwości odnotowywania w zestawieniu pewnych sytuacji, które – choć nie prowadzą bezpośrednio do włamania – intuicyjnie mogą okazać się sprzyjające dla włamywacza, a więc powinny być formalnie zabronione przez racjonalną politykę bezpieczeństwa[4]. Błędy te kategoryzowane są zgodnie z poniższymi kryteriami.
Podatności
[edytuj | edytuj kod]- pozwalają włamywaczowi na wykonywanie poleceń jako inny użytkownik
- pozwalają włamywaczowi na nieuprawniony dostęp do danych
- pozwalają włamywaczowi podszywać się pod inny podmiot
- pozwalają włamywaczowi przeprowadzić atak DoS (ang. denial of service)
Zagrożenia
[edytuj | edytuj kod]- pozwalają włamywaczowi ukryć swoją aktywność
- pozwalają włamywaczowi na zbieranie informacji dotyczących aktywności
- obejmują funkcję, która zachowuje się w oczekiwany sposób, ale może być łatwo naruszona
- jest podstawowym punktem, w którym atakujący może próbować uzyskać dostęp do systemu lub danych
- są rozważane jako błędy naruszające politykę bezpieczeństwa[5]
Identyfikatory
[edytuj | edytuj kod]Identyfikatory są unikatowe, dzięki czemu można łatwo stwierdzić, o jaką podatność chodzi. Można też łączyć wyniki z różnych narzędzi, które korzystają ze standardu CVE. W takim przypadku wersje językowe oraz nazewnictwo zależne od producentów przestaje grać rolę[6].
Każdy wpis w słowniku zawiera:
- Identyfikator CVE np. „CVE-1999-0067”, „CVE-2014-12345”, „CVE-2014-7654321”
- Krótki opis podatności lub zagrożenia
- Odniesienia, takie jak identyfikatory w innych systemach standaryzacyjnych, i istotne źródła do zewnętrznych stron[7]
1 stycznia 2014 roku zmienił się format identyfikatorów, pozwalający w ciągu całego roku zapisać ponad 10000 wpisów w słowniku, niwelując wcześniejsze ograniczenie do 9999 identyfikatorów[8].
Przypisy
[edytuj | edytuj kod]- ↑ słowniczek pojęć na stronie Javy.
- ↑ ICS-CERT Advisories | CISA [online], cisa.gov [dostęp 2021-07-17] (ang.).
- ↑ PL-Grid Monitorowanie bezpieczeństwa.
- ↑ secure.edu.pl. secure.edu.pl. [zarchiwizowane z tego adresu (2014-08-26)]..
- ↑ cve.mitre.org/terminology.
- ↑ metryki-w-bezpieczenstwie. bs.net.pl. [zarchiwizowane z tego adresu (2014-11-04)]..
- ↑ identifiers.
- ↑ syntax change.