Share to: share facebook share twitter share wa share telegram print page

Common Vulnerabilities and Exposures

Logo

Common Vulnerabilities and Exposures – słownik identyfikatorów odpowiadających powszechnie znanym podatnościom oraz zagrożeniom, a także standard ich nazewnictwa. Program ten jest współfinansowany przez biuro Cybersecurity and Communications Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych i jest zarządzany przez korporację MITRE(inne języki)[1]. CERT Polska jako jedyna instytucja w Polsce[2] może nadawać numery CVE[3].

13 marca 2018 roku słownik zawierał 97674 identyfikatory.

Alternatywną bazę danych podatności dla systemów ICS (Industrial Control Systems) prowadzi CISA[4].

Kategoryzacja

W systemie istnieje rozróżnienie pomiędzy podatnościami (ang. vulnerabilities), które w sposób bezpośredni mogą doprowadzić do kompromitacji systemu, oraz zagrożeniami (ang. exposures), które do kompromitacji mogą doprowadzić w sposób pośredni[5]. Zagrożenie jest związane z naruszeniem polityki bezpieczeństwa, co może, ale nie musi, natychmiastowo prowadzić do kompromitacji systemu. Jest to więc pojęcie ogólniejsze, wprowadzone w celu możliwości odnotowywania w zestawieniu pewnych sytuacji, które – choć nie prowadzą bezpośrednio do włamania – intuicyjnie mogą okazać się sprzyjające dla włamywacza, a więc powinny być formalnie zabronione przez racjonalną politykę bezpieczeństwa[6]. Błędy te kategoryzowane są zgodnie z poniższymi kryteriami.

Podatności

  • pozwalają włamywaczowi na wykonywanie poleceń jako inny użytkownik
  • pozwalają włamywaczowi na nieuprawniony dostęp do danych
  • pozwalają włamywaczowi podszywać się pod inny podmiot
  • pozwalają włamywaczowi przeprowadzić atak DoS (ang. denial of service)

Zagrożenia

  • pozwalają włamywaczowi ukryć swoją aktywność
  • pozwalają włamywaczowi na zbieranie informacji dotyczących aktywności
  • obejmują funkcję, która zachowuje się w oczekiwany sposób, ale może być łatwo naruszona
  • jest podstawowym punktem, w którym atakujący może próbować uzyskać dostęp do systemu lub danych
  • są rozważane jako błędy naruszające politykę bezpieczeństwa[7]

Identyfikatory

Identyfikatory są unikatowe, dzięki czemu można łatwo stwierdzić, o jaką podatność chodzi. Można też łączyć wyniki z różnych narzędzi, które korzystają ze standardu CVE. W takim przypadku wersje językowe oraz nazewnictwo zależne od producentów przestaje grać rolę[8].

Każdy wpis w słowniku zawiera:

  • Identyfikator CVE np. „CVE-1999-0067”, „CVE-2014-12345”, „CVE-2014-7654321”
  • Krótki opis podatności lub zagrożenia
  • Odniesienia, takie jak identyfikatory w innych systemach standaryzacyjnych, i istotne źródła do zewnętrznych stron[9]

1 stycznia 2014 roku zmienił się format identyfikatorów, pozwalający w ciągu całego roku zapisać ponad 10000 wpisów w słowniku, niwelując wcześniejsze ograniczenie do 9999 identyfikatorów[10].

Przypisy

  1. słowniczek pojęć na stronie Javy.
  2. Strona programu CVE [online], www.cve.org [dostęp 2025-06-04].
  3. Zgłaszanie i obsługa podatności (CVD) [online], cert.pl [dostęp 2025-06-04].
  4. ICS-CERT Advisories | CISA [online], cisa.gov [dostęp 2021-07-17] (ang.).
  5. PL-Grid Monitorowanie bezpieczeństwa.
  6. secure.edu.pl. secure.edu.pl. [zarchiwizowane z tego adresu (2014-08-26)]..
  7. cve.mitre.org/terminology.
  8. metryki-w-bezpieczenstwie. bs.net.pl. [zarchiwizowane z tego adresu (2014-11-04)]..
  9. identifiers.
  10. syntax change.
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi
Kembali kehalaman sebelumnya