Common Vulnerabilities and Exposures

Common Vulnerabilities and Exposures – słownik identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom, a także standard ich nazewnictwa. Program ten jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i jest zarządzany przez korporację MITRE(inne języki)^[1].

13 marca 2018 roku słownik zawierał 97674 identyfikatory.

Alternatywną bazę danych podatności dla systemów ICS (Industrial Control Systems) prowadzi CISA^[2].

Kategoryzacja edytuj

W systemie istnieje rozróżnienie pomiędzy podatnościami (ang. vulnerabilities), które w sposób bezpośredni mogą doprowadzić do kompromitacji systemu, oraz zagrożeniami (ang. exposures), które do kompromitacji mogą doprowadzić w sposób pośredni^[3]. Zagrożenie jest związane z naruszeniem polityki bezpieczeństwa, co może, ale nie musi, natychmiastowo prowadzić do kompromitacji systemu. Jest to więc pojęcie ogólniejsze, wprowadzone w celu możliwości odnotowywania w zestawieniu pewnych sytuacji, które – choć nie prowadzą bezpośrednio do włamania – intuicyjnie mogą okazać się sprzyjające dla włamywacza, a więc powinny być formalnie zabronione przez racjonalną politykę bezpieczeństwa^[4]. Błędy te kategoryzowane są zgodnie z poniższymi kryteriami.

Podatności edytuj

pozwalają włamywaczowi na wykonywanie poleceń jako inny użytkownik
pozwalają włamywaczowi na nieuprawniony dostęp do danych
pozwalają włamywaczowi podszywać się pod inny podmiot
pozwalają włamywaczowi przeprowadzić atak DoS (ang. denial of service)

Zagrożenia edytuj

pozwalają włamywaczowi ukryć swoją aktywność
pozwalają włamywaczowi na zbieranie informacji dotyczących aktywności
obejmują funkcję, która zachowuje się w oczekiwany sposób, ale może być łatwo naruszona
jest podstawowym punktem, w którym atakujący może próbować uzyskać dostęp do systemu lub danych
są rozważane jako błędy naruszające politykę bezpieczeństwa^[5]

Identyfikatory edytuj

Identyfikatory są unikatowe, dzięki czemu można łatwo stwierdzić, o jaką podatność chodzi. Można też łączyć wyniki z różnych narzędzi, które korzystają ze standardu CVE. W takim przypadku wersje językowe oraz nazewnictwo zależne od producentów przestaje grać rolę^[6].

Każdy wpis w słowniku zawiera:

Identyfikator CVE np. „CVE-1999-0067”, „CVE-2014-12345”, „CVE-2014-7654321”
Krótki opis podatności lub zagrożenia
Odniesienia, takie jak identyfikatory w innych systemach standaryzacyjnych, i istotne źródła do zewnętrznych stron^[7]

1 stycznia 2014 roku zmienił się format identyfikatorów, pozwalający w ciągu całego roku zapisać ponad 10000 wpisów w słowniku, niwelując wcześniejsze ograniczenie do 9999 identyfikatorów^[8].

Przypisy edytuj

↑ słowniczek pojęć na stronie Javy.
↑ ICS-CERT Advisories | CISA [online], cisa.gov [dostęp 2021-07-17] (ang.).
↑ PL-Grid Monitorowanie bezpieczeństwa.
↑ secure.edu.pl. secure.edu.pl. [zarchiwizowane z tego adresu (2014-08-26)]..
↑ cve.mitre.org/terminology.
↑ metryki-w-bezpieczenstwie. bs.net.pl. [zarchiwizowane z tego adresu (2014-11-04)]..
↑ identifiers.
↑ syntax change.

[j1-1] słowniczek pojęć na stronie Javy.

[2] ICS-CERT Advisories | CISA [online], cisa.gov [dostęp 2021-07-17] (ang.).

[p3-3] PL-Grid Monitorowanie bezpieczeństwa.

[p4-4] secure.edu.pl. secure.edu.pl. [zarchiwizowane z tego adresu (2014-08-26)]..

[p5-5] ve.mitre.org/terminology.

[p2-6] tryki-w-bezpieczenstwie. bs.net.pl. [zarchiwizowane z tego adresu (2014-11-04)]..

[about_id-7] tifiers.

[newf-8] syntax change.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]