Uobičajene ranjivosti i izloženosti

Sistem uobičajenih ranjivosti i izloženosti (CVE) pruža referentnu metodu za javno poznate ranjivosti i izloženosti informacione sigurnosti. Nacionalna kibernetička sigurnost (National Cybersecurity FFRDC), kojom upravlja The MITRE Corporation, održava sistem, a finansira ga Odeljenje za nacionalnu kibernetsku bezbednost (National Cyber Security Division) Ministarstva za nacionalnu bezbednost Sjedinjenih Država. ^[1] Sistem je zvanično pokrenut za javnost u septembru 1999. ^[2]

Protokol za automatizaciju bezbednosnog sadržaja (Security Content Automation Protocol) koristi CVE, a CVE ID-jevi (identifikatori) su navedeni u MITRE-ovom sistemu ^[3] kao i u američkoj nacionalnoj bazi podataka o ranjivosti (National Vulnerability Database).

CVE identifikatori[uredi | uredi izvor]

Dokumentacija korporacije "MITRE" definiše CVE identifikatore (koji se takođe nazivaju i „CVE imena“, „CVE brojevi“, „CVE-ID-jevi“ i „CVE-jevi“) kao jedinstvene, uobičajene identifikatore za javno poznate ranjivosti informacione bezbednosti u javno objavljenim softverskim paketima. Istorijski gledano, identifikatori CVE imali su status "kandidata" ("CAN-"), a zatim bi mogli biti unapređeni u unose ("CVE-"), međutim ova praksa je prekinuta pre izvesnog vremena^[kada?] i svi identifikatori su sada dodeljeni kao CVE. Dodela CVE broja nije garancija da će postati službeni CVE unos (npr. CVE može biti nepropisno dodeljen izdanju koje nije sigurnosna ranjivost ili koje duplira postojeći unos).

CVE je dodeljen organom za numeriranje CVE (CVE Numbering Authority (CNA)); ^[4] postoje tri primarna tipa dodeljivanja broja CVE:

MITRE korporacija funkcioniše kao urednik i primarni organ za numerisanje (CNA)
Razni organi za numerisanje dodeljuju CVE brojeve za svoje proizvode (npr Microsoft, Oracle, HP, Red Hat itd. )
Nezavisni koordinator poput CERT Coordination Center-a može dodeliti CVE brojeve za proizvode koji nisu obuhvaćeni drugim organima za numerisanje

Kada istražujete ranjivost ili potencijalnu ranjivost, pomaže vam da se CVE broj stekne rano. CVE brojevi možda se neće pojaviti u bazama podataka MITRE ili NVD CVE neko vreme (danima, nedeljama, mesecima ili potencijalno godinama) zbog problema koji su pod embargom (CVE broj je dodeljen, ali problem nije javno objavljen) ili slučajevi u kojima MITRE ne istražuje i ne unosi unos zbog problema sa resursima. Prednost rane kandidature za CVE je u tome što se sva buduća prepiska može odnositi na broj CVE . Informacije o dobijanju CVE identifikatora za probleme sa projektima otvorenog koda dostupne su od Red Hat-a . ^[5]

CVE-jevi su za softver koji je javno objavljen; ovo može uključivati beta verzije i druge verzije pre izdavanja ukoliko su široko korišćene. Komercijalni softver je uključen u kategoriju „javno objavljenog“, međutim, softver izrađen po meri koji nije distribuiran obično ne bi dobio CVE. Pored toga, uslugama (npr. internet provajder elektronske pošte) nisu dodeljeni CVE-jevi za ranjivosti pronađene u usluzi (npr. XSS ranjivost), osim ukoliko problem postoji u osnovnom softverskom proizvodu koji se javno distribuira.

CVE polja podataka[uredi | uredi izvor]

CVE baza podataka sadrži nekoliko polja:

Opis[uredi | uredi izvor]

Ovo je standardizovani tekstualni opis izdanja (jednog ili više). Jedan uobičajeni unos je:

** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

Ovo znači da je broj unosa rezervisao MITRE za izdanje ili je organ za numerisanje rezervisao broj. Dakle, u slučaju kada organ za numerisanje unapred zahteva blok CVE brojeva (npr Red Hat trenutno zahteva CVE-jeve u blokovima od 500), CVE broj će biti označen kao rezervisan iako organ za numerisanje neko vreme možda neće dodeliti CVE. Dok se ne dodeli CVE, MITRE je o tome obavešten (npr. embargo prođe i izdanje bude javno objavljeno), a MITRE je istražio problem i napisao njegov opis, unosi će se prikazivati kao "** RESERVED **".

Reference[uredi | uredi izvor]

Ovo je lista URL-ova (veb adresa) i drugih informacija

Datum stvaranja zapisa[uredi | uredi izvor]

Ovo je datum kada je unos kreiran. Za CVE-jeve koje je MITRE dodelio direktno, ovo je datum kada je MITRE kreirao CVE unos. Za CVE-jeve koje dodeljuju organi za numerisanje (npr Microsoft, Oracle, HP, Red Hat itd.), ovo je takođe datum koji je kreirao MITRE, a ne organ za numerisanje.

Zastarela polja[uredi | uredi izvor]

Naredna polja su ranije korišćena u starijim CVE zapisima, ali se trenutno ne koriste.

Faza: Faza u kojoj se nalazi CVE (npr CAN, CVE).
Glasovi: Prethodno bi članovi odbora glasali da ili ne o tome da li treba prihvatiti CAN i pretvoriti ga u CVE.
Komentari: Komentari na pitanje.
Predloženo: Kada je pitanje prvi put predloženo.

Promene u sintaksi[uredi | uredi izvor]

Da bi se podržale CVE ID-jeve nakon CVE-YEAR-9999 (tzv. CVE10k problem), izvršena je promena u CVE sintaksi 2014. godine, koja je stupila na snagu 13. januara 2015. ^[6]

Nova sintaksa CVE-ID je promenljive dužine i uključuje:

Prefiks CVE + godina + proizvoljne cifre

NAPOMENA: proizvoljne cifre promenljive dužine će započeti sa četiri fiksne cifre i proširiti se proizvoljnim ciframa samo kada je to potrebno u kalendarskoj godini, na primer, CVE-YYYY-NNNN i po potrebi CVE-YYYY-NNNNN, CVE-YYYY-NNNNNN i tako dalje. To takođe znači da neće biti potrebe za promenom na prethodno dodeljenim CVE-ID-jevima, koji svi sadrže najmanje četiri cifre.

CVE SPLIT i MERGE[uredi | uredi izvor]

CVE pokušava da dodeli jedan CVE po bezbednosnom izdanju, međutim, u mnogim slučajevima to bi dovelo do veoma velikog broja CVE-jeva (npr. kada se u PHP aplikaciji nađe nekoliko desetina ranjivosti skriptiranja na više lokacija zbog nedostatka upotrebe htmlspecialchars() ili nesigurno stvaranje datoteka u /tmp ).

Da bi se to rešilo, postoje smernice (podložne promenama) koje pokrivaju podelu i spajanje (split i merge) problema u posebne CVE brojeve. Kao opšte smernice, prvo treba razmotriti probleme koji se spajaju, zatim probleme treba podeliti prema vrsti ranjivosti (npr. buffer overflow u poređenju sa stack overflow-om ), a zatim prema pogođenoj verziji softvera (npr. ukoliko jedan problem utiče na verziju 1.3.4 do 2.5.4, a drugi utiče na verziju 1.3.4 do 2.5.8, oni bi bili podeljeni (SPLIT)), a zatim prema reporteru problema (npr. Alice prijavljuje jedan problem, a Bob prijavljuje drugi problem, problemi bi bili podeljeni (SPLIT) na zasebne CVE brojeve).

Drugi primer je kada Alice izveštava o ranjivosti stvaranja /tmp datoteka u verziji 1.2.3 i starijoj verziji veb pretraživača ExampleSoft. Pored ovog problema, pronađeno je i nekoliko drugih problema pri kreiranju /tmp fajla. U nekim slučajevima na ovo se može gledati kao dva reportera (i tako se podeliti (SPLIT) na dva odvojena CVE-ja, ili ako Alice radi za ExampleSoft, a ExampleSoft interni tim pronađe ostatak, može se spojiti (MERGE) u jedan CVE). Suprotno tome, problemi se mogu spojiti, npr. ako Bob pronađe 145 XSS ranjivosti u ExamplePlugin-u za ExampleFrameWork, bez obzira na pogođene verzije, i tako dalje, mogu se spojiti u jednu CVE. ^[7]

Pretražite CVE identifikatore[uredi | uredi izvor]

MITRE CVE baza podataka može se pretraživati u CVE List Search-u, a baza podataka NVD CVE može se pretraživati u Search CVE and CCE Vulnerability Database.

CVE upotreba[uredi | uredi izvor]

CVE identifikatori su namenjeni upotrebi identifikovanja ranjivosti:

Uobičajene ranjivosti i izloženosti (CVE) je rečnik uobičajenih imena (tj. CVE identifikatora) za javno poznate ranjivosti informacione bezbednosti. Zajednički CVE identifikatori olakšavaju deljenje podataka u odvojenim mrežnim bazama podataka i alatima i pružaju osnovu za procenu pokrivenosti bezbednosnih alata jedne organizacije. Ukoliko izveštaj jednog od vaših bezbednosnih alata sadrži CVE identifikatore, možete brzo i tačno pristupiti informacijama o popravkama u jednoj ili više zasebnih baza podataka koji su CVE-kompatibilni, kako biste rešili postojeći problem. ^[8]

Korisnici kojima je dodeljen CVE identifikator za ranjivost su podstaknuti da postave identifikator u sve povezane bezbednosne izveštaje, veb stranice, elektronsku poštu itd.

Problemi sa CVE zadacima[uredi | uredi izvor]

Prema odeljku 7.1 pravila organa za numerisanje, dobavljač koji je primio izveštaj o bezbednosnoj ranjivosti ima puno diskreciono pravo u vezi s njim. [1] To može dovesti do sukoba interesa, zato što prodavac može pokušati da ostavi nedostatke nerešenim tako što će pre svega odbiti CVE zadatak - odluku koju MITRE ne može poništiti.

Vidi još[uredi | uredi izvor]

Uobičajeni sistem bodovanja za ranjivost (CVSS)
Uobičajeno nabrajanje slabosti (CWE)
Računarska bezbednost

Reference[uredi | uredi izvor]

^ „CVE – Common Vulnerabilities and Exposures”. Mitre Corporation. 2007-07-03. Pristupljeno 2009-06-18. „CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.”
^ „CVE - History”. cve.mitre.org. Pristupljeno 25. 3. 2020. CS1 održavanje: Format datuma (veza)
^ cve.mitre.org. CVE® International in scope and free for public use, CVE is a dictionary of publicly known information security vulnerabilities and exposures.
^ „CVE - CVE Numbering Authorities”. Mitre Corporation. 2015-02-01. Pristupljeno 2015-11-15.
^ „CVE OpenSource Request HOWTO”. Red Hat Inc. 2016-11-14. Pristupljeno 2019-05-29. „There are several ways to make a request depending on what your requirements are:”
^ „CVE - CVE ID Syntax Change”. cve.mitre.org. 13. 9. 2016. CS1 održavanje: Format datuma (veza)
^ CVE Abstraction Content Decisions: Rationale and Application
^ „CVE - About CVE”. cve.mitre.org. Pristupljeno 2015-07-28.

Spoljašnje veze[uredi | uredi izvor]

Zvanični veb-sajt
Nacionalna baza podataka o ranjivosti (NVD)
Uobičajeno nabrajanje konfiguracije (CCE) Arhivirano na sajtu Wayback Machine (4. mart 2016) na NVD-u
vFeed korelirane i agregirane baze podataka o ranjivosti - SQLite baza podataka i Python API
Baza podataka o ranjivostima Cyberwatch-a Arhivirano na sajtu Wayback Machine (22. avgust 2018), treća strana

[1] „CVE – Common Vulnerabilities and Exposures”. Mitre Corporation. 2007-07-03. Pristupljeno 2009-06-18. „CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.”

[2] „CVE - History”. cve.mitre.org. Pristupljeno 25. 3. 2020. CS1 održavanje: Format datuma (veza)

[MITRE's_System-3] ve.mitre.org. CVE® International in scope and free for public use, CVE is a dictionary of publicly known information security vulnerabilities and exposures.

[4] „CVE - CVE Numbering Authorities”. Mitre Corporation. 2015-02-01. Pristupljeno 2015-11-15.

[5] „CVE OpenSource Request HOWTO”. Red Hat Inc. 2016-11-14. Pristupljeno 2019-05-29. „There are several ways to make a request depending on what your requirements are:”

[6] „CVE - CVE ID Syntax Change”. cve.mitre.org. 13. 9. 2016. CS1 održavanje: Format datuma (veza)

[7] CVE Abstraction Content Decisions: Rationale and Application

[8] „CVE - About CVE”. cve.mitre.org. Pristupljeno 2015-07-28.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]