Что такое CVE

Что такое CVE

CVE или Common Vulnerabilities and Exposures — это список известных уязвимостей и дефектов безопасности. По сути CVE — это идентификатор или серийный номер.

У уязвимостей в CVE есть несколько частей описания. Давайте разберем на примере. Возьмем нашумевшую уязвимость CISCO: CVE-2023-20198.

На различных ресурсах, что используют CVE кроме номера дают и детали: описание уязвимости, ее особенности, оценка опасности по шкале CVSS (мы о ней писали ранее).

Зачем нужен СVE

Здесь немного истории: до 1999 года была проблема с описанием уязвимостей. У различных компаний по кибербезопасности были свои базы данных и свои методики описания. MITRE Corporation, американская некоммерческая организация в области системной инженерии, создала открытую базу, по которой удобно искать и описывать различные угрозы.

Эту методику приняли за стандарт, упростив описание уязвимостей и передачу информации между различными инструментами, сервисами и базами.

Как искать CVE

Есть несколько баз, которые помогут их искать: вот поисковик от MITRE, есть еще удобная база Vulners. Просто вводите идентификатор и онлайн-сервисы покажут основную информацию об уязвимости: описание, таймлайн обнаружения и особенности.

Как уязвимость попадает в базу СVE

Есть три базовых критерия:

1. Уязвимость должна быть исправлена.

2. Разработчик, в продукте которого найдена уязвимость, должен признать её негативное последствие для безопасности.

3. Угроза затрагивает только одну кодовую базу. Если, например, уязвимость связана с open-source библиотеками, CVE назначают на каждый затронутый продукт.

У всех ли уязвимостей есть номера CVE

На самом деле нет. Некоторые уязвимости могут временно отсутствовать в базах. Причины две:

1. Уязвимость новая, и у MITRE в системе CVE нет события для этой уязвимости. 2. Уязвимость не связана ни с какой уязвимостью в данный момент в системе CVE. Может быть и такое, что угроза не появиться в базе, по причине того, что угроза в принципе не связана с уязвимостью или подверженностью воздействию.