Top-Fragen
Zeitleiste
Chat
Kontext

Common Vulnerabilities and Exposures

eine Liste öffentlich bekannter Schwachstellen in Computersystemen Aus Wikipedia, der freien Enzyklopädie

Remove ads

Common Vulnerabilities and Exposures (CVE deutsch Bekannte Schwachstellen und Anfälligkeiten) ist ein vom US-amerikanischen National Cybersecurity FFRDC betriebenes und von der Mitre Corporation gepflegtes System zur standardisierten Identifikation und Benennung von öffentlich bekannten Sicherheitslücken und anderen Schwachstellen in Computersystemen.

Thumb
Logo

Ziel des CVE-Systems ist es, Mehrfachbenennungen derselben Gefahren durch verschiedene Unternehmen und Institutionen zu vermeiden. Eine bekannte Sicherheitslücke wird mit einer Nummer versehen, die aus dem Kürzel CVE, der Jahreszahl der Entdeckung des Problems sowie einer beliebigen fortlaufenden Nummer besteht (z. B. CVE-2020-1234). Dadurch wird eine eindeutige Identifizierung der Schwachstelle gewährleistet und ein reibungsloser Informationsaustausch zwischen den verschiedenen Datenbanken einzelner Hersteller ermöglicht.

Die CVE-Nummern werden seit 1999 vergeben. Bis Ende 2013 waren die fortlaufenden Nummern eines Jahres immer vierstellig und wurden mit einer führenden Null angegeben, etwa CVE-1999-0012. Da dieses Format nicht mehr ausreichte, wurde es Anfang 2014 so angepasst, dass es beliebig viele Stellen zulässt, jedoch weiterhin mindestens vier Stellen benötigt.[1]

Die Verwaltung und Pflege der CVE-Liste erfolgt durch die Mitre Corporation[2] in Zusammenarbeit mit den CVE Numbering Authorities (CNAs). CNAs umfassen Sicherheitsexperten, Bildungseinrichtungen, Regierungsbehörden und Hersteller von Sicherheitssoftware.[3] Diese CNAs sind für die Vergabe und Verwaltung von CVE-IDs verantwortlich und spielen eine wichtige Rolle bei der Aktualisierung und Pflege des CVE-Systems. Das Programm wird von der Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums unterstützt.[2]

Remove ads

Finanzierungsunsicherheiten im April 2025 und Reaktionen

Die Mitre Corporation gab am 15. April 2025 bekannt, dass die bisherige Förderung der US-Regierung zur Aufrechterhaltung des CVE-Systems zum 16. April 2025 auslaufe und nicht verlängert werde. Daher könne sie das System nicht über diesen Zeitraum hinaus betreiben.[4] Unmittelbar vor Ablauf dieser Frist verlängerte CISA die Förderung um weitere elf Monate bis zum 15. März 2026. Parallel zu diesem Vorgang veröffentlichte die Agentur der Europäischen Union für Cybersicherheit (ENISA) die bereits im Juni 2024 angekündigte European Vulnerability Database mit einer Identifizierungsnummer für erkannte Schwachstellen, ergänzend zur CVE-Nummerierung.[5]

Remove ads

Siehe auch

Einzelnachweise

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads