一般的な脆弱性とエクスポージャー

Common_Vulnerabilities_and_Exposures

Common Vulnerabilities and Exposures(CVE)システムは、公に知られている情報セキュリティの 脆弱性とエクスポージャーの参照方法を提供します。The MitreCorporationが運営する米国のNationalCyber​​security FFRDCは、米国国土安全保障省のUS National Cyber​​ Security Divisionからの資金提供を受けて、システムを維持しています。このシステムは1999年9月に正式に公開されました。
セキュリティコンテンツオートメーションプロトコルは、 CVEを使用し、CVE IDは、マイターのシステム上だけでなく、米国に記載されてい国立脆弱性データベース。

コンテンツ
1 CVE識別子
2 CVEデータフィールド
2.1 説明 2.2 参考文献 2.3 レコード作成日 2.4 廃止されたフィールド
3 構文の変更
4 CVE SPLIT and MERGE
5 CVE識別子を検索する
6 CVEの使用法
7 CVE割り当ての問題
8 も参照してください
9 参考文献
10 外部リンク

CVE識別子
MITER Corporationのドキュメントでは、CVE識別子(「CVE名」、「CVE番号」、「CVE-ID」、「CVE」とも呼ばれます)を、公開されているソフトウェアパッケージの既知の情報セキュリティの脆弱性に対する一意の共通識別子として定義しています。歴史的に、CVE識別子は「候補」(「CAN-」)のステータスを持ち、その後エントリ(「CVE-」)に昇格することができましたが、この慣行は2005年に終了し 、現在すべての識別子が割り当てられていますCVEとして。CVE番号の割り当ては、それが公式のCVEエントリになることを保証するものではありません(たとえば、CVEは、セキュリティの脆弱性ではない、または既存のエントリと重複する問題に不適切に割り当てられる可能性があります)。
CVEは、CVE Numbering Authority(CNA)によって割り当てられます。以前は一部のベンダーがCNAとして機能していましたが、名前と指定は2005年2月1日まで作成されませんでした。 CVE番号の割り当てには主に3つのタイプが
MITRE社の編集者とプライマリCNAとして機能します
さまざまなCNAが、自社製品(Microsoft、Oracle、HP、Red Hatなど)にCVE番号を割り当てています。
CERT Coordination Centerなどのサードパーティコーディネーターは、他のCNAでカバーされていない製品にCVE番号を割り当てる場合があります
脆弱性または潜在的な脆弱性を調査する場合、CVE番号を早期に取得するのに役立ちます。CVE番号は、禁止されている問題(CVE番号は割り当てられているが、問題は公開されていない)のため、またはリソースの問題により、エントリがMITREによって調査および作成されていない場合。初期のCVE候補の利点は、将来のすべての通信でCVE番号を参照できることです。オープンソースプロジェクトの問題のCVE識別子の取得に関する情報は、Red Hat およびGitHub から入手できます。
CVEは、公開されているソフトウェア用です。広く使用されている場合、これにはベータ版やその他のプレリリースバージョンを含めることができます。商用ソフトウェアは「公開された」カテゴリに含まれますが、配布されていないカスタムビルドのソフトウェアには通常CVEが与えられません。さらに、サービス(Webベースの電子メールプロバイダーなど)には、公に配布されている基盤となるソフトウェア製品に問題が存在しない限り、サービスで見つかった脆弱性(XSSの脆弱性など)のCVEは割り当てられません。

CVEデータフィールド
CVEデータベースにはいくつかのフィールドが含まれています。

説明
これは、問題の標準化されたテキストの説明です。一般的なエントリの1つは次のとおりです。
**予約済み**この候補者は、新しいセキュリティ問題を発表するときに使用する組織または個人によって予約されています。候補者が公表されると、この候補者の詳細が提供されます。
これは、エントリ番号がMitreによって問題のために予約されているか、CNAがその番号を予約していることを意味します。したがって、CNAが事前にCVE番号のブロックを要求する場合(たとえば、Red Hatが現在500のブロックでCVEを要求している場合)、CVE自体がCNAによって割り当てられていない場合でも、CVE番号は予約済みとしてマークされます。時間。CVEが割り当てられるまで、Mitreはそれを認識し(つまり、禁輸措置が通過し、問題が公開されます)、Mitreが問題を調査して説明を書き込んだ場合、エントリは「**予約済み**」と表示されます。 “。

参考文献
これはURLとその他の情報のリストです

レコード作成日
これは、エントリが作成された日付です。Mitreによって直接割り当てられたCVEの場合、これはMitreがCVEエントリを作成した日付です。CNA(Microsoft、Oracle、HP、Red Hatなど)によって割り当てられたCVEの場合、これはCNAではなくMitreによって作成された日付でもCNAが事前にCVE番号のブロックを要求する場合(たとえば、Red Hatは現在500のブロックでCVEを要求します)、CVEがCNAに割り当てられるエントリ日付。

廃止されたフィールド
次のフィールドは、以前は古いCVEレコードで使用されていましたが、現在は使用され
フェーズ:CVEが存在するフェーズ(CAN、CVEなど)。
投票:以前は、理事会メンバーは、CANを受け入れてCVEに変えるべきかどうかについて賛成または反対の投票をしていました。
コメント:問題に関するコメント。
提案:問題が最初に提案されたとき。

構文の変更
CVE-YEAR-9999(別名CVE10k問題)を超えるCVE IDをサポートするために、2014年にCVE構文に変更が加えられ、2015年1月13日に発効しました。
新しいCVE-ID構文は可変長であり、次のものが含まれます。
CVEプレフィックス+年+任意の数字
注:可変長の任意の数字は、4つの固定数字で始まり、暦年に必要な場合にのみ任意の数字で拡張されます。たとえば、CVE-YYYY-NNNN、必要に応じてCVE-YYYY-NNNNN、CVE-YYYY-NNNNNN、すぐ。これは、以前に割り当てられたCVE-IDに変更を加える必要がないことも意味します。CVE-IDにはすべて最低4桁が含まれます。

CVE SPLIT and MERGE
CVEは、セキュリティの問題ごとに1つのCVEを割り当てようとしますが、多くの場合、これによりCVEの数が非常に多くなります(たとえば、PHPアプリケーションで、使用不足htmlspecialchars()または安全でない作成のために、数十のクロスサイトスクリプティングの脆弱性が見つかります)。のファイルの/tmp。
これに対処するために、問題を個別のCVE番号に分割およびマージすることをカバーするガイドライン(変更される可能性があります)が一般的なガイドラインとして、最初にマージする問題を検討し、次に問題を脆弱性のタイプ(たとえば、バッファオーバーフローとスタックオーバーフロー)、次に影響を受けるソフトウェアバージョン(たとえば、1つの問題がバージョン1.3.4から2.5.4およびその他の影響は1.3.4から2.5.8に影響し、次に問題のレポーターによって影響を受けます(たとえば、アリスが1つの問題を報告し、ボブが別の問題を報告すると、問題は別々のCVE番号に分割されます)。
別の例は、AliceがExampleSoftWebブラウザーのバージョン1.2.3以前で/ tmpファイル作成の脆弱性を報告していることです。この問題に加えて、他のいくつかの/tmpファイル作成の問題が見つかります。場合によっては、これは2人のレポーター(したがってSPLIT)と見なされることが 2つの別々のCVEに分割するか、AliceがExampleSoftで機能し、ExampleSoftの内部チームが残りを見つけた場合、単一のCVEにマージされる可能性が逆に、問題をマージすることもできます。たとえば、影響を受けるバージョンに関係なく、ExamplePlugin for ExampleFrameWorkで145のXSS脆弱性が見つかった場合など、単一のCVEにマージされる可能性が

CVE識別子を検索する
Mitre CVEデータベースはCVEリスト検索で検索でき、NVDCVEデータベースはSearchCVEおよびCCEVulnerabilityDatabaseで検索できます。

CVEの使用法
CVE識別子は、脆弱性の特定に関して使用することを目的としています。
Common Vulnerabilities and Exposures(CVE)は、公に知られている情報セキュリティの脆弱性の一般的な名前(CVE識別子)の辞書です。CVEの共通識別子により、個別のネットワークセキュリティデータベースおよびツール間でデータを共有しやすくなり、組織のセキュリティツールの適用範囲を評価するためのベースラインが提供されます。いずれかのセキュリティツールからのレポートにCVE識別子が組み込まれている場合は、1つ以上の個別のCVE互換データベースの修正情報にすばやく正確にアクセスして、問題を修正できます。
脆弱性のCVE識別子が割り当てられているユーザーは、関連するセキュリティレポート、Webページ、電子メールなどに識別子を確実に配置することをお勧めします。

CVE割り当ての問題
CNAルールのセクション7.1によると、セキュリティの脆弱性に関するレポートを受け取ったベンダーは、それに関して完全な裁量権を持っています。ベンダーは、最初にCVE割り当てを拒否することで欠陥にパッチを当てないままにしようとする可能性があるため、これは利益相反につながる可能性がこれは、マイターが取り消すことのできない決定です。

も参照してください
Common Vulnerability Scoring System(CVSS)
Common Weakness Enumeration(CWE)
コンピュータセキュリティ

参考文献
^ 「CVE–一般的な脆弱性とエクスポージャー」。MitreCorporation。2007-07-03 。CVEは、米国国土安全保障省のNational Cyber​​ SecurityDivisionによって後援されています。
^ 「CVE-歴史」。cve.mitre.org 。
^ cve.mitre.org。CVE Internationalは、範囲が広く、無料で公開されています。CVEは、公に知られている情報セキュリティの脆弱性とエクスポージャーの辞書です。
^ 「CVE-よくある質問」。cve.mitre.org 。2021-09-01を取得しました。
^ Kouns、ジェイク(2009年8月16日)。「Reviewing(4)CVE」。OSVDB:すべてが脆弱です。
^ 「CVE-CVEナンバリングオーソリティ」。MitreCorporation。2015-02-01 。取得した2015年11月15日を。
^ “CVE-CVEブログ”私たちのCVEストーリー:CVEプログラムの古代史– Microsoft Security Response Centerには先入観がありましたか? “(ゲスト作成者)”。cve.mitre.org 。2021-09-17を取得。
^ 「CVEオープンソースリクエストHOWTO」。Red Hat Inc.2016-11-14 。要件に応じて、リクエストを行う方法はいくつか
^ 「GitHubセキュリティアドバイザリについて」。GitHub Inc. GitHubセキュリティアドバイザリは、Common Vulnerabilities and Exposures(CVE)リストに基づいて構築されています
^ 「CVE-CVEID構文の変更」。cve.mitre.org。2016年9月13日。
^ CVE抽象化コンテンツの決定:理論的根拠と適用 ^ 「CVE-CVEについて」。cve.mitre.org 。

外部リンク
公式ウェブサイト
image"   National Vulnerability Database(NVD)
NVDでの共通構成列挙(CCE)
vFeed相関および集約された脆弱性データベース-SQLiteデータベースおよびPythonAPI
Cyber​​watch Vulnerabilities Database、サードパーティ
企業はITセキュリティ監査サービスについて何を知る必要がありますか?

「https://en.wikipedia.org/w/index.php?title=Common_Vulnerabilities_and_Exposures&oldid=1061691415」
から取得”