Common Vulnerabilities and Exposures

Common Vulnerabilities and Exposures – słownik identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom, a także standard ich nazewnictwa. Program ten jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i jest zarządzany przez korporację MITRE[1].

13 marca 2018 roku słownik zawierał 97674 identyfikatory.

Alternatywną bazę danych podatności dla systemów ISC (Industrial Control Systems) prowadzi CISA[2].

Kategoryzacja

W systemie istnieje rozróżnienie pomiędzy podatnościami (ang. vulnerabilities), które w sposób bezpośredni mogą doprowadzić do kompromitacji systemu, oraz zagrożeniami (ang. exposures), które do kompromitacji mogą doprowadzić w sposób pośredni[3]. Zagrożenie jest związane z naruszeniem polityki bezpieczeństwa, co może, ale nie musi, natychmiastowo prowadzić do kompromitacji systemu. Jest to więc pojęcie ogólniejsze, wprowadzone w celu możliwości odnotowywania w zestawieniu pewnych sytuacji, które – choć nie prowadzą bezpośrednio do włamania – intuicyjnie mogą okazać się sprzyjające dla włamywacza, a więc powinny być formalnie zabronione przez racjonalną politykę bezpieczeństwa[4]. Błędy te kategoryzowane są zgodnie z poniższymi kryteriami.

Podatności

  • pozwalają włamywaczowi na wykonywanie poleceń jako inny użytkownik
  • pozwalają włamywaczowi na nieuprawniony dostęp do danych
  • pozwalają włamywaczowi podszywać się pod inny podmiot
  • pozwalają włamywaczowi przeprowadzić atak DoS (ang. denial of service)

Zagrożenia

  • pozwalają włamywaczowi ukryć swoją aktywność
  • pozwalają włamywaczowi na zbieranie informacji dotyczących aktywności
  • obejmują funkcję, która zachowuje się w oczekiwany sposób, ale może być łatwo naruszona
  • jest podstawowym punktem, w którym atakujący może próbować uzyskać dostęp do systemu lub danych
  • są rozważane jako błędy naruszające politykę bezpieczeństwa[5]

Identyfikatory

Identyfikatory są unikatowe, dzięki czemu można łatwo stwierdzić, o jaką podatność chodzi. Można też łączyć wyniki z różnych narzędzi, które korzystają ze standardu CVE. W takim przypadku wersje językowe oraz nazewnictwo zależne od producentów przestaje grać rolę[6].

Każdy wpis w słowniku zawiera:

  • Identyfikator CVE np. „CVE-1999-0067”, „CVE-2014-12345”, „CVE-2014-7654321”
  • Krótki opis podatności lub zagrożenia
  • Odniesienia, takie jak identyfikatory w innych systemach standaryzacyjnych, i istotne źródła do zewnętrznych stron[7]

1 stycznia 2014 roku zmienił się format identyfikatorów, pozwalający w ciągu całego roku zapisać ponad 10000 wpisów w słowniku, niwelując wcześniejsze ograniczenie do 9999 identyfikatorów[8].

Przypisy