Что такое CVE
В этой статье расскажем, что такое CVE, в чем смысл идентификатора и по каким базам можно искать уязвимости.
Что такое CVE
CVE или Common Vulnerabilities and Exposures — это список известных уязвимостей и дефектов безопасности. По сути CVE — это идентификатор или серийный номер.
У уязвимостей в CVE есть несколько частей описания. Давайте разберем на примере. Возьмем нашумевшую уязвимость CISCO: CVE-2023-20198.
CVE
2023
20198
В списке CVE всегда ставят этот префикс. Он не будет отличаться.
Год, когда уязвимость появилась в базе.
Порядковый номер, присвоенный уязвимости. Обычно они идут по порядку. То есть следующая уязвимость по счёту — CVE-2023-20199. Она, если что, тоже принадлежит CISCO.
На различных ресурсах, что используют CVE кроме номера дают и детали: описание уязвимости, ее особенности, оценка опасности по шкале CVSS (мы о ней писали ранее).
Зачем нужен СVE
Здесь немного истории: до 1999 года была проблема с описанием уязвимостей. У различных компаний по кибербезопасности были свои базы данных и свои методики описания. MITRE Corporation, американская некоммерческая организация в области системной инженерии, создала открытую базу, по которой удобно искать и описывать различные угрозы.
Эту методику приняли за стандарт, упростив описание уязвимостей и передачу информации между различными инструментами, сервисами и базами.
Как искать CVE
Есть несколько баз, которые помогут их искать: вот поисковик от MITRE, есть еще удобная база Vulners. Просто вводите идентификатор и онлайн-сервисы покажут основную информацию об уязвимости: описание, таймлайн обнаружения и особенности.
Как уязвимость попадает в базу СVE
Есть три базовых критерия:
1. Уязвимость должна быть исправлена.
2. Разработчик, в продукте которого найдена уязвимость, должен признать её негативное последствие для безопасности.
3. Угроза затрагивает только одну кодовую базу. Если, например, уязвимость связана с open-source библиотеками, CVE назначают на каждый затронутый продукт.
У всех ли уязвимостей есть номера CVE
На самом деле нет. Некоторые уязвимости могут временно отсутствовать в базах. Причины две:
1. Уязвимость новая, и у MITRE в системе CVE нет события для этой уязвимости. 2. Уязвимость не связана ни с какой уязвимостью в данный момент в системе CVE. Может быть и такое, что угроза не появиться в базе, по причине того, что угроза в принципе не связана с уязвимостью или подверженностью воздействию.
Last updated