일반적인 취약성 및 노출

Common Vulnerabilities and Exposures

CVE(Common Vulnerabilities and Exposure) 시스템은 공개적으로 알려진 정보 보안 취약성 및 노출에 대한 참조 방법을 제공합니다.Mitre Corporation에 의해 운영되는 미국의 국가 사이버 [1]보안 FFRDC는 미국 국토안보부미국 국가 사이버 보안 부서의 자금으로 이 시스템을 유지하고 있습니다.이 시스템은 1999년 [2]9월에 공식적으로 일반인을 위해 시작되었다.

Security Content Automation Protocol은 CVE를 사용하며 CVE ID는 Mitre의 시스템과 미국 전국 취약성 [3]데이터베이스에 나열됩니다.

배경

취약성은 접근할 수 없는 것에 접근하는 데 사용할 수 있는 컴퓨터 소프트웨어의 약점이다.예를 들어, 신용카드를 처리하는 소프트웨어는 사람들이 신용카드를 처리하는 신용카드 번호를 읽는 것을 허용해서는 안 되지만, 해커들은 신용카드를 훔치기 위해 취약성을 이용할 수 있다.소프트웨어 조각이 많고 때로는 취약성이 많은 경우가 있기 때문에 특정 취약성에 대해 언급하는 것은 어렵습니다.CVE 식별자는 각 취약성에 서로 다른 이름을 부여하므로 사용자는 자신의 이름을 사용하여 특정 취약성에 대해 이야기할 수 있습니다.

CVE 식별자

MITRE Corporation의 문서에서는 CVE 식별자('CVE 이름', 'CVE 번호', 'CVE-ID' 및 'CVE'라고도 함)를 공개된 소프트웨어 패키지의 공개된 정보 보안 취약성에 대한 고유한 공통 식별자로 정의하고 있습니다.지금까지 CVE 식별자는 "candidate"("CAN-") 상태였으며 엔트리("CVE-")로 승격할 수 있었습니다만, 이 관행은 2005년에[4][5] 종료되어 현재는 모든 식별자가 CVE로 할당되었습니다.CVE 번호를 할당한다고 해서 그것이 공식 CVE 엔트리가 된다는 보장은 없습니다(예를 들어 보안 취약점이 아닌 문제 또는 기존 엔트리가 중복되는 문제에 CVE가 잘못 할당될 수 있습니다).

CVE는 CVE Numbering Authority(CNA)[6]에 의해 할당됩니다.이전에는 일부 벤더가 CNA로 기능했지만 2005년 [7]2월 1일까지는 이름과 명칭이 작성되지 않았습니다.CVE 번호 할당에는 다음 3가지 주요 유형이 있습니다.

  1. Mitre Corporation은 Editor 및 Primary CNA로 기능합니다.
  2. 다양한 CNA가 자사 제품에 CVE 번호를 할당합니다(Microsoft, Oracle, HP, Red Hat 등).
  3. CERT Coordination Center 의 서드파티 코디네이터는 다른 CNA의 대상이 아닌 제품의 CVE 번호를 할당할 수 있습니다.

취약성 또는 잠재적인 취약성을 조사할 때는 CVE 번호를 조기에 취득하는 데 도움이 됩니다.금지된 문제(CVE 번호가 할당되었지만 문제가 공개되지 않은 경우) 또는 자원 문제로 인해 엔트리가 조사 및 기록되지 않은 경우 일정 기간(일, 주, 월 또는 잠재적으로 년) 동안 MITRE 또는 NVD CVE 데이터베이스에 CVE 번호가 표시되지 않을 수 있습니다.조기 CVE 후보자의 이점은 미래의 모든 서신에서 CVE 번호를 참조할 수 있다는 것입니다.오픈 소스 프로젝트의 문제에 대한 CVE 식별자 취득에 대한 정보는 Red[8] Hat 및 Git[9] Hub에서 확인할 수 있습니다.

CVE는 공개되어 있는 소프트웨어용입니다.이것에는 베타나 그 외의 프리 릴리즈 버전이 폭넓게 사용되고 있는 경우가 있습니다.상용 소프트웨어는 '공개' 카테고리에 포함되지만 배포되지 않은 맞춤형 소프트웨어는 일반적으로 CVE가 제공되지 않습니다.게다가 서비스(웹 베이스의 전자 메일 프로바이더등)에는, 공개적으로 배포되고 있는 기본적인 소프트웨어 제품에 문제가 없는 한, 서비스내에서 발견된 취약성(XSS 의 취약성등)에 대해서 CVE 가 할당되지 않습니다.

CVE 데이터 필드

CVE 데이터베이스에는 다음 필드가 있습니다.

묘사

이것은 문제의 표준화된 텍스트 설명입니다.일반적인 엔트리는 다음과 같습니다.

** RESERVED * 이 후보는 새로운 보안 문제를 발표할 때 사용하는 조직 또는 개인에 의해 예약되어 있습니다.후보가 공개되면 해당 후보에 대한 세부 정보가 제공됩니다.

이는 엔트리 번호가 Mitre에 의해 어떤 문제로 예약되었거나 CNA에 의해 예약되었음을 의미합니다.따라서 CNA가 사전에 CVE 번호 블록을 요구하는 경우(예를 들어 Red Hat은 현재 CVE를 500 블록으로 요구하는 경우 등), CVE 자체가 CNA에 의해 일정 기간 할당되지 않은 경우에도 CVE 번호는 예약으로 마크됩니다.CVE가 할당될 때까지 Mitre는 이를 인식하고 있습니다(즉, 엠바고가 통과되고 문제가 공개됩니다). Mitre가 문제를 조사하고 설명을 작성하면 엔트리는 "* RESERVED **"로 표시됩니다.

레퍼런스

URL 및 기타 정보 목록입니다.

레코드 작성일

엔트리가 작성된 날짜입니다.Mitre에 의해 직접 할당된 CVE의 경우 Mitre가 CVE 엔트리를 작성한 날짜입니다.CNA(Microsoft, Oracle, HP, Red Hat 등)에 의해 할당된 CVE의 경우 CNA가 아닌 Mitre가 작성한 날짜이기도 합니다.CNA가 CVE 번호 블록을 사전에 요구하는 경우(예를 들어 Red Hat은 현재 CVE를 500 블록으로 요구하는 경우) CVE가 CNA에 할당되어 있는 엔트리 날짜입니다.

사용되지 않는 필드

다음 필드는 이전 CVE 레코드에서 사용되었지만 더 이상 사용되지 않습니다.

  • 단계: CVE가 있는 단계(CAN, CVE 등).
  • 투표: 이전 이사들은 CAN을 받아들여 CVE로 전환해야 하는지 여부에 대해 찬반 투표를 했다.
  • 코멘트: 이 문제에 대한 코멘트.
  • 제안:이 문제가 처음 제기되었을 때.

구문 변경

CVE-YEAR-9999(일명 CVE10k 문제) 이상의 CVE ID를 지원하기 위해 2014년에 CVE 구문이 변경되어 2015년 [10]1월 13일부터 유효하게 되었습니다.

새로운 CVE-ID 구문은 가변 길이이며 다음과 같습니다.

CVE 프리픽스+년+임의 자리수

메모: 가변 길이의 임의 자릿수는 4자리 고정 자릿수부터 시작하여 CVE-YYY-NNN과 같이 필요한 경우에만 임의 자릿수로 확장됩니다.예를 들어, CVE-YYYY-NNNNNN, CVE-YYYY-NNNNN 등입니다.이는 이전에 할당된 CVE-ID에 변경이 필요하지 않음을 의미하며, 모두 최소 4자리 숫자를 포함합니다.

CVE 분할 및 병합

CVE는 보안 문제마다 1개의 CVE를 할당하려고 하지만 많은 경우 CVE의 수가 매우 많아집니다(예를 들어 PHP 어플리케이션의 사용 부족으로 인해 사이트 간 스크립팅 취약성이 수십 개 발견됨).htmlspecialchars()또는 안전하지 않은 파일 생성/tmp).

이 문제에 대처하기 위해서, 문제를 다른 CVE 번호로 분할 및 병합하는 것에 관한 가이드 라인(변경되는 경우가 있습니다).일반적인 가이드라인으로서 먼저 Marge하는 문제를 검토하여 취약성 유형(버퍼 오버플로우 vs 스택 오버플로 등)에 따라 문제를 분할하고 다음으로 영향을 받는 소프트웨어 버전(예를 들어 1.3.4~2.5.4에 영향을 주고 다른 문제가 1.3.4~2.5.8에 영향을 미치는 경우)에 따라 분할한 후 보고서를 작성해야 합니다.문제의 r(예를 들어 Alice가 하나의 문제를 보고하고 Bob이 다른 문제를 보고하는 경우)는 다른 CVE 번호로 분할됩니다.

또 다른 예로는 Alice가 이 문제와 더불어 ExampleSoft 웹 브라우저 버전 1.2.3 이전 버전에서의 /tmp 파일 생성 취약성을 보고하는 경우가 있습니다./tmp파일 작성에 관한 문제가 발견되어 2개의 리포터로 간주될 수 있습니다(따라서 2개의 개별 CVE로 분할되거나 Alice가 Example Soft에서 일하고 Example Soft 내부 팀이 나머지를 발견하면 단일 CVE로 MERGE될 수 있습니다.반대로 Bob이 영향을 받는 버전에 관계없이 ExampleFrameWork용 ExamplePlugin에서 145개의 XSS 취약성을 발견한 경우 등 문제를 Marge할 수 있습니다.[11]

CVE 식별자 검색

Mitre CVE 데이터베이스는 CVE List Search에서 검색할 수 있으며 NVD CVE 데이터베이스는 Search CVECCE Vulnerability Database에서 검색할 수 있습니다.

CVE 사용률

CVE 식별자는 취약성 식별과 관련하여 사용하는 것을 목적으로 합니다.

CVE(Common Vulnerabilities and Exposure)는 일반적으로 알려진 정보 보안 취약점의 공통 이름(CVE ID) 사전입니다.CVE의 공통 식별자를 사용하면 개별 네트워크 보안 데이터베이스 및 도구 간에 데이터를 쉽게 공유할 수 있으며 조직의 보안 도구 적용 범위를 평가하기 위한 기준선이 제공됩니다.사용하시는 보안 툴 중 하나의 보고서에 CVE ID가 포함되어 있는 경우,[12] 1개 또는 복수의 개별 CVE 호환 데이터베이스 내의 수정 정보에 신속하고 정확하게 액세스하여 문제를 해결할 수 있습니다.

취약성에 대한 CVE ID가 할당된 사용자는 관련된 보안 보고서, 웹 페이지, 전자 메일 등에 식별자를 배치하도록 권장합니다.

CVE 할당 문제

CNA 규칙 섹션 7.1에 따라 보안 취약성에 대한 보고서를 받은 공급업체는 [13]보안 취약성에 대한 완전한 재량권을 가집니다.이로 인해 벤더가 CVE 할당을 처음부터 거부함으로써 결함을 패치하지 않고 방치하려고 할 수 있기 때문에 이해 상충이 발생할 수 있습니다.이것은 [citation needed]Mitre가 되돌릴 수 없는 결정입니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ "CVE – Common Vulnerabilities and Exposures". Mitre Corporation. 2007-07-03. Retrieved 2009-06-18. CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.
  2. ^ "CVE - History". cve.mitre.org. Retrieved 25 March 2020.
  3. ^ cve.mitre.org 를 참조해 주세요.CVE International은 범위가 넓어 일반인에게 무료로 사용할 수 있습니다.CVE는 공개적으로 알려진 정보 보안 취약점과 노출에 대한 사전입니다.
  4. ^ "CVE - Frequently Asked Questions". cve.mitre.org. Retrieved 2021-09-01.
  5. ^ Kouns, Jake (August 16, 2009). "Reviewing(4) CVE". OSVDB: Everything is Vulnerable. Archived from the original on 2021-09-01. Retrieved September 1, 2021.
  6. ^ "CVE - CVE Numbering Authorities". Mitre Corporation. 2015-02-01. Retrieved 2015-11-15.
  7. ^ "CVE - CVE Blog "Our CVE Story: Ancient History of the CVE Program – Did the Microsoft Security Response Center have Precognition?" (guest author)". cve.mitre.org. Retrieved 2021-09-17.
  8. ^ "CVE OpenSource Request HOWTO". Red Hat Inc. 2016-11-14. Retrieved 2019-05-29. There are several ways to make a request depending on what your requirements are:
  9. ^ "About GitHub Security Advisories". GitHub Inc. Retrieved 2021-12-23. GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list
  10. ^ "CVE - CVE ID Syntax Change". cve.mitre.org. September 13, 2016.
  11. ^ CVE 추상화 콘텐츠 결정: 이유와 적용
  12. ^ "CVE - About CVE". cve.mitre.org. Retrieved 2015-07-28.
  13. ^ "CVE - CVE Numbering Authority (CNA) Rules".

외부 링크