Common Vulnerabilities and Exposures

Common Vulnerabilities and Exposures – słownik identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom, a także standard ich nazewnictwa. Program ten jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i jest zarządzany przez korporację MITRE(inne języki)^[1]. CERT Polska jako jedyna instytucja w Polsce^[2] może nadawać numery CVE^[3].

Logo

13 marca 2018 roku słownik zawierał 97674 identyfikatory.

Alternatywną bazę danych podatności dla systemów ICS (Industrial Control Systems) prowadzi CISA^[4].

Kategoryzacja

W systemie istnieje rozróżnienie pomiędzy podatnościami (ang. vulnerabilities), które w sposób bezpośredni mogą doprowadzić do kompromitacji systemu, oraz zagrożeniami (ang. exposures), które do kompromitacji mogą doprowadzić w sposób pośredni^[5]. Zagrożenie jest związane z naruszeniem polityki bezpieczeństwa, co może, ale nie musi, natychmiastowo prowadzić do kompromitacji systemu. Jest to więc pojęcie ogólniejsze, wprowadzone w celu możliwości odnotowywania w zestawieniu pewnych sytuacji, które – choć nie prowadzą bezpośrednio do włamania – intuicyjnie mogą okazać się sprzyjające dla włamywacza, a więc powinny być formalnie zabronione przez racjonalną politykę bezpieczeństwa^[6]. Błędy te kategoryzowane są zgodnie z poniższymi kryteriami.

Podatności

• pozwalają włamywaczowi na wykonywanie poleceń jako inny użytkownik
• pozwalają włamywaczowi na nieuprawniony dostęp do danych
• pozwalają włamywaczowi podszywać się pod inny podmiot
• pozwalają włamywaczowi przeprowadzić atak DoS (ang. denial of service)

Zagrożenia

• pozwalają włamywaczowi ukryć swoją aktywność
• pozwalają włamywaczowi na zbieranie informacji dotyczących aktywności
• obejmują funkcję, która zachowuje się w oczekiwany sposób, ale może być łatwo naruszona
• jest podstawowym punktem, w którym atakujący może próbować uzyskać dostęp do systemu lub danych
• są rozważane jako błędy naruszające politykę bezpieczeństwa^[7]

Identyfikatory

Identyfikatory są unikatowe, dzięki czemu można łatwo stwierdzić, o jaką podatność chodzi. Można też łączyć wyniki z różnych narzędzi, które korzystają ze standardu CVE. W takim przypadku wersje językowe oraz nazewnictwo zależne od producentów przestaje grać rolę^[8].

Każdy wpis w słowniku zawiera:

• Identyfikator CVE np. „CVE-1999-0067”, „CVE-2014-12345”, „CVE-2014-7654321”
• Krótki opis podatności lub zagrożenia
• Odniesienia, takie jak identyfikatory w innych systemach standaryzacyjnych, i istotne źródła do zewnętrznych stron^[9]

1 stycznia 2014 roku zmienił się format identyfikatorów, pozwalający w ciągu całego roku zapisać ponad 10000 wpisów w słowniku, niwelując wcześniejsze ograniczenie do 9999 identyfikatorów^[10].