Common Vulnerabilities and Exposures

Common Vulnerabilities and Exposures (CVE) je referenční seznam veřejně známých zranitelností a ohrožení informační bezpečnosti. CVE byl spuštěn v roce 1999 společností MITRE, aby identifikoval a kategorizoval zranitelnosti v softwaru a firmwaru. ^[2] Společnost MITRE sponzoruje Ministerstvo vnitřní bezpečnosti USA (DHS) a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA). Tento seznam umožňuje získat informace o zranitelnostech prostřednictvím unikátního identifikátoru, známého jako CVE ID. ^[3]

CVE identifikátory

Proces vytváření identifikátoru CVE začíná zjištěním a nahlášením potenciální bezpečnostní chyby. CVE Numbering Authority (CNA) následně této informaci přiřadí CVE identifikátor (jedná se o unikátní kód ve formátu CVE-rok-pořadové číslo identifikátoru), který je zveřejněn na CVE seznamu. Společnost MITRE spravuje celý CVE seznam, zatímco CVE redakční rada se stará o aktualizaci standardů a celkový směr programu. ^[4] Existuje okolo sta CNA, mezi nimiž jsou bezpečnostní firmy, výzkumné organizace a IT dodavatelé, jako jsou Red Hat, IBM, Cisco, Oracle a Microsoft. ^[5] Dále jsou zjištěny bližší detaily o zranitelnosti (zahrnují například typ zranitelnosti, verzi, hlavní příčinu nebo dopad). Jakmile je v záznamu shromážděn dostatek informací, je zveřejněn příslušnou složkou CNA na veřejný CVE seznam identifikátorů. ^[6]

Minimální požadavky pro zveřejnění CVE záznamu ^[6]

Identifikační číslo CVE (např. „CVE-1999-0067“, „CVE-2014-100001“)
Popis bezpečnostní chyby nebo ohrožení
Relevantní odkazy (upozornění, zprávy o zranitelnosti)
Dodatečné produkty a verze

Využití

Systém CVE slouží k standardizovanému označování a sledování zranitelností napříč různými organizacemi a bezpečnostními nástroji. ^[7] Tato standardizace je využívána při zjišťování bezpečnostních hrozeb. NVD doplňuje identifikátory dalšími údaji, jako je skóre CVSS, kategorizace CWE a kompatibilita CPE. Tyto informace slouží k hodnocení kybernetických rizik a identifikaci ohrožených systémů. ^[3]

Common Vulnerability Scoring System

CVSS je metoda měření závažnosti zranitelností, známá také jako CVE skóre. Hodnotu CVSS vypočítává NVD a používá stupnici od 0 do 10. ^[8] NVD podporuje verze systému CVSS v2.0, v3.x a v4.0 a poskytuje kalkulátory pro každou z nich.

Stupnice CVSS ^[9]
Hodnota CVSS	Úroveň závažnosti zranitelnosti
0	žádná
0.1-3.9	nízká
4.0-6.9	střední
7.0-8.9	vysoká
9.0-10.0	kritická

Odkazy

Reference

↑ CVE Logo [online]. CVE [cit. 2024-11-07]. Dostupné online.
↑ What is a CVE? Common Vulnerabilities and Exposures Explained | UpGuard. www.upguard.com [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ ^a ^b NVD - CVEs and the NVD Process. nvd.nist.gov [online]. [cit. 2024-11-07]. Dostupné online.
↑ Common Vulnerabilities and Exposures [online]. CVE [cit. 2024-11-07]. Dostupné online.
↑ What is a CVE?. www.redhat.com [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ ^a ^b CVE Website. www.cve.org [online]. [cit. 2024-11-07]. Dostupné online.
↑ What is CVE?. www.lacework.com [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ What is CVE and CVSS | Vulnerability Scoring Explained | Imperva [online]. [cit. 2024-11-07]. Dostupné online. (anglicky)
↑ NVD - Vulnerability Metrics. nvd.nist.gov [online]. [cit. 2024-11-07]. Dostupné online.