stringtranslate.com

Распространенные уязвимости и риски

Система Common Vulnerabilities and Exposures ( CVE ) предоставляет эталонный метод для общеизвестных уязвимостей и угроз информационной безопасности . [1] Национальная служба кибербезопасности США FFRDC , управляемая корпорацией MITRE , поддерживает систему при финансовой поддержке Отдела национальной кибербезопасности США Министерства внутренней безопасности США . [2] Система была официально представлена ​​публике в сентябре 1999 года. [3]

Протокол автоматизации контента безопасности использует CVE, и идентификаторы CVE указаны в системе Mitre, а также в Национальной базе данных уязвимостей США . [4]

Фон

Уязвимость — это слабость компьютерной системы программного обеспечения, обеспечивающая несанкционированный доступ . Например, программное обеспечение для обработки кредитных карт не должно позволять людям читать номера кредитных карт, которые оно обрабатывает, однако злоумышленники могут использовать уязвимость для чтения номеров кредитных карт. Рассматривать конкретную уязвимость изолированно сложно, поскольку существует множество программ, зачастую со множеством уязвимостей и, возможно, разных типов. Идентификаторы CVE присваивают каждой уязвимости уникальное официальное имя, тем самым устанавливая общий язык.

CVE-идентификаторы

В документации корпорации MITRE идентификаторы CVE (также называемые «именами CVE», «номерами CVE», «идентификаторами CVE» и «CVE») являются уникальными, общими идентификаторами общеизвестных уязвимостей информационной безопасности в общедоступных пакетах программного обеспечения. Исторически идентификаторы CVE имели статус «кандидата» («CAN-») и затем могли быть повышены до записей («CVE-»), но эта практика была прекращена в 2005 году [5] [6] и теперь все идентификаторы присваиваются. как CVE. Присвоение номера CVE не является гарантией того, что он станет официальной записью CVE (например, CVE может быть ошибочно присвоен проблеме, которая не является уязвимостью безопасности или которая дублирует существующую запись).

CVE назначаются Органом нумерации CVE (CNA). [7] Хотя некоторые поставщики и раньше выступали в качестве CNA, название и обозначение не были созданы до 1 февраля 2005 года. [8] Существует три основных типа присвоения номеров CVE:

  1. Корпорация Mitre выступает в качестве редактора и основного CNA.
  2. Различные CNA присваивают номера CVE своим продуктам (например, Microsoft, Oracle, HP, Red Hat).
  3. Сторонний координатор, такой как Координационный центр CERT, может присваивать номера CVE продуктам, не подпадающим под действие других CNA.

При исследовании уязвимости или потенциальной уязвимости полезно заранее получить номер CVE. Номера CVE могут не появляться в базах данных CVE MITRE или NVD в течение некоторого времени (дней, недель, месяцев или, возможно, лет) из-за проблем, на которые наложено эмбарго (номер CVE был присвоен, но проблема не была обнародована) или случаи, когда MITRE не исследует и не записывает запись из-за проблем с ресурсами. Преимущество ранней подачи заявки на CVE заключается в том, что вся будущая корреспонденция может ссылаться на номер CVE. Информацию о получении идентификаторов CVE для проблем с проектами с открытым исходным кодом можно получить на сайтах Red Hat [9] и GitHub . [10]

CVE предназначены для публично выпущенного программного обеспечения; сюда могут относиться бета-версии и другие предварительные версии, если они широко используются. Коммерческое программное обеспечение включено в категорию «публично выпущенных», но специально созданное программное обеспечение, которое не распространяется, обычно не получает CVE. Кроме того, службам (например, веб-провайдеру электронной почты) не присваиваются сертификаты CVE за уязвимости, обнаруженные в службе (например, XSS-уязвимость), за исключением случаев, когда проблема существует в базовом программном продукте, который распространяется публично.

Поля данных CVE

База данных CVE содержит несколько полей:

Описание

Это стандартизированное текстовое описание проблемы(й). Одна общая запись:

** ЗАРЕЗЕРВИРОВАНО ** Этот кандидат зарезервирован организацией или частным лицом, которое будет использовать его при объявлении о новой проблеме безопасности. Когда кандидат будет опубликован, будут предоставлены подробные сведения об этом кандидате.

Это означает, что номер записи был зарезервирован Mitre для проблемы или CNA зарезервировал этот номер. Таким образом, когда CNA заранее запрашивает блок номеров CVE (например, Red Hat в настоящее время запрашивает CVE блоками по 500), номер CVE будет помечен как зарезервированный, даже если сам CVE может не быть назначен CNA в течение некоторого времени. Пока CVE не назначен, Mitre не уведомлен об этом (т. е. пока эмбарго не пройдет и проблема не будет обнародована), а Mitre не исследует проблему и не напишет ее описание, записи будут отображаться как «** ЗАРЕЗЕРВИРОВАНО **». ".

Дата создания записи

Это дата создания записи. Для CVE, назначенных непосредственно Mitre, это дата, когда Mitre создал запись CVE. Для CVE, присвоенных CNA (например, Microsoft, Oracle, HP, Red Hat), это также дата создания Mitre, а не CNA. Когда CNA заранее запрашивает блок номеров CVE (например, Red Hat в настоящее время запрашивает CVE блоками по 500), дата входа CVE назначается CNA.

Устаревшие поля

Следующие поля ранее использовались в записях CVE, но больше не используются.

Изменения в синтаксисе

Для поддержки идентификаторов CVE после CVE-YEAR-9999 (так называемая «проблема CVE10k» [11] ) в синтаксис CVE в 2014 году было внесено изменение, которое вступило в силу 13 января 2015 года. [12]

Новый синтаксис CVE-ID имеет переменную длину и включает в себя:

Префикс CVE + год + произвольные цифры

Произвольные цифры переменной длины начинаются с четырех фиксированных цифр и расширяются произвольными цифрами только при необходимости в течение календарного года; например, CVE-YYYY-NNNN и, если необходимо, CVE-YYYY-NNNNNN, CVE-YYYY-NNNNNN и так далее. Это также означает, что не потребуется никаких изменений в ранее назначенных CVE-ID, которые состоят как минимум из четырех цифр.

CVE РАЗДЕЛЕНИЕ И ОБЪЕДИНЕНИЕ

CVE пытается назначить один CVE для каждой проблемы безопасности; однако во многих случаях это может привести к чрезвычайно большому количеству CVE (например, когда в приложении PHP обнаружено несколько десятков уязвимостей межсайтового скриптинга из-за неиспользования htmlspecialchars()или небезопасного создания файлов в /tmp.

Чтобы решить эту проблему, рекомендации (могут быть изменены) предусматривают разделение и объединение проблем в отдельные номера CVE. В качестве общего правила следует сначала рассмотреть проблемы, подлежащие объединению, затем проблемы следует разделить по типу уязвимости (например, переполнение буфера или переполнение стека ), а затем по затронутой версии программного обеспечения (например, если одна проблема затрагивает версию 1.3). .4–2.5.4, а другие влияют на 1.3.4–2.5.8, они будут РАЗДЕЛЕНЫ), а затем отправителем сообщения о проблеме (например, если Алиса сообщает об одной проблеме, а Боб сообщает о другой проблеме, проблемы будут РАЗДЕЛЕНЫ на отдельные номера CVE).

Другой пример: Алиса сообщает об уязвимости создания файла /tmp в веб-браузере exampleSoft версии 1.2.3 и более ранних версиях; Помимо этой проблемы, /tmpобнаружено несколько других проблем с созданием файлов. В некоторых случаях это можно рассматривать как два репортера (и, таким образом, РАЗДЕЛИТЬ их на два отдельных CVE, или, если Алиса работает в exampleSoft, а внутренняя команда exampleSoft обнаружит остальных, их можно ОБЪЕДИНИТЬ в один CVE). И наоборот, проблемы можно объединить, например, если Боб обнаружит 145 XSS-уязвимостей в плагине examplePlugin для exampleFrameWork независимо от затронутых версий и т. д., они могут быть объединены в один CVE. [13]

Поиск идентификаторов CVE

В базе данных Mitre CVE можно найти поиск по списку CVE, а в базе данных NVD CVE — поиск по базе данных CVE и CCE Vulnerability Database.

Использование CVE

Идентификаторы CVE предназначены для использования при выявлении уязвимостей:

Общие уязвимости и воздействия (CVE) — это словарь общих имен (т. е. идентификаторов CVE) для общеизвестных уязвимостей информационной безопасности. Общие идентификаторы CVE упрощают обмен данными между отдельными базами данных и инструментами сетевой безопасности, а также обеспечивают основу для оценки охвата инструментов безопасности организации. Если отчет одного из ваших инструментов безопасности включает идентификаторы CVE, вы можете быстро и точно получить доступ к информации об исправлениях в одной или нескольких отдельных CVE-совместимых базах данных, чтобы устранить проблему. [14]

Пользователям, которым был присвоен идентификатор CVE для уязвимости, рекомендуется убедиться, что они размещают этот идентификатор во всех связанных отчетах о безопасности, веб-страницах, электронных письмах и т. д.

Проблемы с назначением CVE

Согласно разделу 7 Правил CNA, поставщик, получивший сообщение об уязвимости безопасности, имеет полную свободу действий в отношении этого. [15] Это может привести к конфликту интересов, поскольку поставщик может попытаться оставить недостатки неисправленными, сначала отказав в назначении CVE – решение, которое Mitre не может отменить. Проект «!CVE» (не CVE), анонсированный в 2023 году, направлен на сбор уязвимостей, которые отрицаются поставщиками, при условии, что группа экспертов проекта считает их действительными. [16]

Идентификаторы CVE присуждаются за фиктивные проблемы и проблемы, не имеющие последствий для безопасности. [17] В ответ ряд проектов с открытым исходным кодом сами подали заявки на получение статуса органа нумерации CVE (CNA) своего собственного проекта. [18]

Смотрите также

Рекомендации

  1. ^ Ву, Сяосюэ; Чжэн, Вэй; Чен, Сян; Ван, Фанг; Му, Деджун (2020). «Метод построения крупномасштабного набора данных отчетов об ошибках безопасности с помощью CVE». Журнал систем и программного обеспечения . 160 : 110456. doi : 10.1016/j.jss.2019.110456. S2CID  209056007.
  2. ^ «CVE - Распространенные уязвимости и уязвимости» . Корпорация Митра . 3 июля 2007 года . Проверено 18 июня 2009 г. CVE спонсируется Национальным отделом кибербезопасности Министерства внутренней безопасности США.
  3. ^ "CVE - История" . cve.mitre.org . Проверено 25 марта 2020 г.
  4. ^ «CVE - Распространенные уязвимости и уязвимости (CVE)» . cve.mitre.org . Архивировано из оригинала 7 апреля 2013 года . Проверено 8 апреля 2013 г.
  5. ^ «CVE — Часто задаваемые вопросы» . cve.mitre.org . Проверено 1 сентября 2021 г.
  6. Кунс, Джейк (13 августа 2009 г.). «Обзор (4) CVE». ОСВДБ: Всё уязвимо . Архивировано из оригинала 1 сентября 2021 года . Проверено 1 сентября 2021 г.
  7. ^ «CVE - Центры нумерации CVE» . Корпорация Митра . 1 февраля 2015 года . Проверено 5 марта 2024 г.
  8. ^ «CVE - Блог CVE «Наша история CVE: древняя история программы CVE - было ли у Центра реагирования безопасности Microsoft предвидение?» (приглашенный автор)» . cve.mitre.org . Проверено 17 сентября 2021 г.
  9. ^ "Практическое руководство по запросу CVE OpenSource" . Red Hat Inc., 14 ноября 2016 г. Проверено 29 мая 2019 г. Сделать запрос можно несколькими способами в зависимости от ваших требований:
  10. ^ «О рекомендациях по безопасности GitHub» . Гитхаб . Проверено 23 декабря 2021 г. Рекомендации по безопасности GitHub основаны на списке распространенных уязвимостей и уязвимостей (CVE).
  11. Кристи, Стивен М. (12 января 2007 г.). «CVE — проблема CVE-10K». cve.mitre.org . Корпорация МИТЕР . Проверено 25 ноября 2023 г.
  12. ^ «CVE — Изменение синтаксиса идентификатора CVE» . cve.mitre.org . 13 сентября 2016 г.
  13. ^ «Решения по содержанию абстракции CVE: обоснование и применение (в архиве)» . Корпорация Митра . 15 июня 2005 г. Проверено 6 января 2024 г.
  14. ^ «CVE - О CVE» . cve.mitre.org . Проверено 28 июля 2015 г.
  15. ^ «Правила нумерационного органа CVE — Правила назначения» (PDF) . Корпорация МИТЕР. 1 февраля 2020 г. стр. 13–15 . Проверено 6 декабря 2023 г.
  16. Эдж, Джейк (5 декабря 2023 г.). «Дополнение CVE с помощью !CVE». lwn.net .
  17. Эдж, Джейк (13 сентября 2023 г.). «Фальшивая проблема CVE». lwn.net .
  18. ^ «Поворотный момент для цифр CVE» . LWN.net . 14 февраля 2024 г.

Внешние ссылки