Common Vulnerabilities and Exposures

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj

Common Vulnerabilities and Exposures (pl. znane podatności i zagrożenia) – słownik identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom, a także standard ich nazewnictwa. Program ten jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i jest zarządzany przez korporację MITRE[1].

Na dzień 23 sierpnia słownik zawierał 63199 identyfikatorów.

Kategoryzacja[edytuj | edytuj kod]

W systemie istnieje rozróżnienie pomiędzy podatnościami (eng.vulnerabilities), które w sposób bezpośredni mogą doprowadzić do kompromitacji systemu, oraz zagrożeniami (eng. exposures), które do kompromitacji mogą doprowadzić w sposób pośredni[2]. Zagrożenie jest związane z naruszeniem polityki bezpieczeństwa, co może, ale nie musi, natychmiastowo prowadzić do kompromitacji systemu. Jest to więc pojęcie ogólniejsze, wprowadzone w celu możliwości odnotowywania w zestawieniu pewnych sytuacji, które — choć nie prowadzą bezpośrednio do włamania — intuicyjnie mogą się okazać się sprzyjające dla włamywacza, a więc powinny być formalnie zabronione przez racjonalną politykę bezpieczeństwa[3]. Błędy te kategoryzowane są zgodnie z poniższymi kryteriami.

Podatności[edytuj | edytuj kod]

  • pozwalają włamywaczowi na wykonywanie poleceń jako inny użytkownik
  • pozwalają włamywaczowi na nieuprawniony dostęp do danych
  • pozwalają włamywaczowi podszywać się pod inny podmiot
  • pozwalają włamywaczowi przeprowadzić atak DoS (denial of service)

Zagrożenia[edytuj | edytuj kod]

  • pozwalają włamywaczowi ukryć swoją aktywność
  • pozwalają włamywaczowi na zbieranie informacji dotyczących aktywności
  • obejmują funkcję, która zachowuje się w oczekiwany sposób, ale może być łatwo naruszona
  • jest podstawowym punktem, w którym atakujący może próbować uzyskać dostęp do systemu lub danych
  • są rozważane jako błędy naruszające politykę bezpieczeństwa[4]

Identyfikatory[edytuj | edytuj kod]

Identyfikatory są unikatowe, dzięki czemu można łatwo stwierdzić, o jaką podatność chodzi. Można też łączyć wyniki z różnych narzędzi, które korzystają ze standardu CVE. W takim przypadku wersje językowe oraz nazewnictwo zależne od producentów przestaje grać rolę[5].

Każdy wpis w słowniku zawiera:

  • Identyfikator CVE np. "CVE-1999-0067", "CVE-2014-12345", "CVE-2014-7654321"
  • Krótki opis podatności lub zagrożenia
  • Odniesienia, takie jak identyfikatory w innych systemach standaryzacyjnych, i istotne źródła do zewnętrznych stron[6]

W dniu 1 stycznia 2014 roku zmienił się format identyfikatorów, pozwalający w ciągu całego roku zapisać ponad 10000 wpisów w słowniku, niwelując wcześniejsze ograniczenie do 9999 identyfikatorów[7].

Przypisy