Vulnerabilidades y exposiciones comunes

Las vulnerabilidades y exposiciones comunes , o CVE , es un diccionario de vulnerabilidades y agujeros de seguridad conocidos públicamente. Lo mantiene MITRE Corporation y está financiado por el FFRDC de Ciberseguridad Nacional del Departamento de Seguridad Nacional de los Estados Unidos . [1] El CVE es utilizado por el Protocolo de Automatización de Contenido de Seguridad (SCAP) y las vulnerabilidades, identificadas por un identificador único, se enumeran en el sistema MITRE y en la Base de Datos Nacional de VulnerabilidadAmericano. La identificación unívoca de CVE permite una mayor comunicación en el mundo de la seguridad y ayuda en la evaluación de la difusión de servicios y herramientas. [2]

Como se menciona en el sitio web de CVE, el método principal para solicitar la inclusión de una vulnerabilidad conocida es solicitarla a una CNA (CVE Numbering Authority), organizaciones de investigación, investigadores de seguridad y fabricantes de sistemas operativos. Entre ellos podemos encontrar: Adobe , Apple , Attachmate , BlackBerry , CERT Coordination Center , Cisco , Debian GNU/Linux , Distributed Weakness Filing Project , EMC , FreeBSD , Google , HP , IBM , ICS-CERT , JPCERT/CC , Juniper , Microsoft , MITRE (CNA principal), Mozilla , Oracle , Red Hat , Silicon Graphics , Symantec y Ubuntu . [3]

Identificadores CVE

Los identificadores CVE (identificadores CVE ), también llamados "nombres CVE", "números CVE" o "ID CVE", identifican de manera única las vulnerabilidades de ciberseguridad conocidas públicamente. Estos identificadores pueden tener el estado de "entradas" o "candidatos", dependiendo de si han sido aceptados en la lista CVE o están en proceso de verificación para su inclusión en la lista.
La asignación de un identificador no garantiza que la vulnerabilidad se convierta en una entrada oficial de CVE (por ejemplo, una ID de CVE puede duplicar una entrada existente).

Los ID de CVE se pueden asignar de tres maneras:

  1. De la corporación MITRE, primaria CNA
  2. De los CNA sobre sus productos (por ejemplo, Apple, Oracle, Microsoft)
  3. De terceros como el Centro de Coordinación CERT que puede asignar identificadores para productos no cubiertos por los otros CNA

Los números CVE pueden no aparecer en la Base de Datos Nacional de Vulnerabilidad o en las bases de datos MITRE por algún tiempo (días a años) debido a problemas relacionados con su divulgación (su catalogación ha sido aprobada pero no hecha pública). La información sobre cómo obtener ID de CVE relacionados con proyectos de código abierto está disponible en el sitio web de Red Hat. [4]

Los CVE cubren el software lanzado al público, incluidas las versiones beta, los pedidos anticipados (si se distribuyen ampliamente) y los programas comerciales. Entre las categorías a las que no se asignan CVE encontramos sistemas personalizados no distribuidos y servicios adicionales (por ejemplo, proveedores de correo basados ​​en web con criticidades como Cross-site scripting ) a menos que el problema esté presente en un software distribuido públicamente subyacente.

Campos de datos CVE

Hay varios campos dentro de una base de datos CVE, aunque algunos ya no se utilizan. Entre los campos que ya no se utilizan encontramos indicaciones sobre la fase en la que se encuentran los CVE (voces o candidatos), sobre las votaciones (para decidir si se transforman los candidatos en voces que votaron los miembros), comentarios y propuestas.

Descripción

Es la descripción de un número CVE, un ejemplo típico es: "**RESERVADO**"; es decir, el identificador ha sido reservado por MITRE o un CNA (normalmente los solicitan en bloques) y por tanto permanecerá así marcado aunque no esté realmente asignado a una vulnerabilidad durante algún tiempo.

Referencias

Presenta la lista de información y URL asociadas con el CVE.

Fecha de creación

Esta es la fecha en que se creó la entrada. Para una ID de CVE asignada directamente por MITRE, esta es la fecha real en que se creó la entrada; para una CVE asignada por una CNA, la fecha de creación se refiere a cuando MITRE reservó la entrada, no a la CNA. Así, en el caso de que una CNA solicite un número determinado de CVE por adelantado, estas entradas tendrán todas la misma fecha de creación, es decir, cuando fueron asignadas. Es posible que el CVE asignado no se use incluso durante años (se pueden usar para problemas de seguridad antiguos relacionados con el software de código abierto para los que aún no se han asignado ID de CVE).

Cambios en la sintaxis del ID de CVE

Desde que se introdujo CVE en 1999, la sintaxis de ID de CVE era CVE-YYYY-NNNN: admitía un máximo de 9999 identificadores únicos por año. En los últimos años, el crecimiento del número de vulnerabilidades a registrar ha provocado la modificación de esta sintaxis, que entró en vigor el 13 de enero de 2015. [5]

La nueva fórmula tiene una duración variable e incluye:

Prefijo CVE - año - dígitos arbitrarios

La longitud del campo "dígitos arbitrarios" es variable pero debe contener al menos cuatro (4) caracteres, por lo que la sintaxis es compatible con versiones anteriores.

CVE SPLIT y MERGE

El CVE intenta asignar una entrada para cada problema de seguridad, pero a veces esto es imposible debido a que el número resultante es demasiado alto (por ejemplo, solo para las vulnerabilidades de secuencias de comandos entre sitios encontradas en aplicaciones PHP , se escribirían docenas). Para manejar esto, existen pautas para dividir y fusionar problemas en ID de CVE separados. Cuando algunas vulnerabilidades se consideran unificables, se dividen por tipo (por ejemplo , desbordamiento de búfer / desbordamiento de pila ), luego por la versión de software que afectan y finalmente por el sujeto que las reporta (si es reportada por dos sujetos diferentes, se hará un SPLIT). realizado y registrado con dos CVE ID diferentes). Por ejemplo, si Alice reporta una vulnerabilidad al crear un archivo /tmp en versiones anteriores a la 1.2.3 del navegador web ExampleSoft y se encuentran otras vulnerabilidades al crear archivos /tmp además de esta, en muchos casos se considera que son dos informes distintos (esto generará dos identificadores CVE separados, si Alice trabaja para ExampleSoft y un equipo interno de ExampleSoft encuentra las otras vulnerabilidades, entonces los dos CVE se pueden fusionar). Por el contrario, si, por ejemplo, Bob encuentra 145 vulnerabilidades XSS en ExamplePlugin para ExampleFramework, independientemente de las versiones afectadas, podrían fusionarse en una sola entrada (MERGE) [6] .

Dónde encontrar CVE

La base de datos de CVE MITRE se puede encontrar en el enlace Copia maestra de la lista de CVE , mientras que la de NVD se encuentra en la base de datos de vulnerabilidad de búsqueda de CVE y CCE . Actualmente el número de identificadores CVE asignados asciende a: 76311 [7] .

Notas

  1. ^ MITRE Corporation , CVE: vulnerabilidades y exposiciones comunes , en cve.mitre.org , 3 de julio de 2007. Consultado el 20 de noviembre de 2008 .
  2. ^ CVE: vulnerabilidades y exposiciones comunes , en cve.mitre.org . Consultado el 06-06-2016 .
    "Los identificadores comunes de CVE permiten el intercambio de datos entre productos de seguridad y proporcionan un punto de índice de referencia para evaluar la cobertura de herramientas y servicios".
  3. ^ Autoridades de numeración CNA-CVE , en cve.mitre.org . Consultado el 06-06-2016 .
  4. ^ Red Hat Inc. , CVE OpenSource Request HOWTO , en people.redhat.com . Consultado el 7 de junio de 2016 (archivado desde el original el 12 de julio de 2014) .
    "Hay varias formas de hacer una solicitud dependiendo de cuáles sean sus requisitos:"
  5. ^ Cambio de sintaxis de CVE-ID , en cve.mitre.org . Consultado el 11 de junio de 2016 .
  6. ^ Decisiones de contenido de abstracción de CVE: justificación y aplicación , en cve.mitre.org . Consultado el 12-06-2016 .
  7. ^ Acerca de CVE , en cve.mitre.org . Consultado el 12-06-2016 .

Artículos relacionados

Enlaces externos