CVE (Common Vulnerabilities and Exposures) — це список загальновідомих вразливостей та експлойтів у програмному забезпеченні та апаратному забезпеченні. Кожна вразливість у базі даних має унікальний ідентифікатор формату CVE-РРРР-NNNN, де:
CVE — префікс, що вказує на формат ідентифікатора.
РРРР — рік, у який вразливість була зареєстрована.
NNNN — послідовний номер, який може містити від чотирьох до семи цифр, залежно від кількості зареєстрованих вразливостей у даному році.
Базою даних CVE керує організація MITRE Corporation. MITRE є некомерційною організацією, яка надає послуги з досліджень і розвитку для уряду США, а також займається низкою проєктів з кібербезпеки та технологій.
MITRE працює у партнерстві з Національним інститутом стандартів і технологій (NIST) та іншими організаціями для управління базою даних CVE. Вони забезпечують координацію між дослідниками з кібербезпеки, розробниками програмного забезпечення та іншими зацікавленими сторонами для ідентифікації, перевірки та публікації інформації про вразливості.
MITRE отримує значну частину свого фінансування від уряду США, зокрема через контрактні роботи та гранти. У рамках цих контрактів MITRE надає різноманітні послуги, включаючи дослідження та розробки в галузі кібербезпеки. MITRE також залучає фінансування через різноманітні дослідницькі проєкти та гранти, спрямовані на підвищення рівня кібербезпеки та розвитку нових технологій.
База даних CVE є важливим інструментом для дослідників з кібербезпеки, розробників програмного забезпечення та системних адміністраторів. Вона дозволяє ідентифікувати відомі вразливості, оцінювати ризики та приймати заходи для їх усунення. Для проведення penetration tests (тестів на проникнення) використання CVE допомагає швидко знаходити слабкі місця в системах, що підвищує їх безпеку та знижує ризики атак.
Публікація та підтримка бази даних CVE сприяє відкритості та прозорості в сфері кібербезпеки, що допомагає покращити захист інформаційних систем на глобальному рівні. CVE List фактично є стандартом з обліку вразливостей. Існує безліч інструментів які базуються на інформації з цієї бази. Наприклад GitHub бот, який робить pull-request з оновленими бібліотеками, якщо в них було виявлено вразливість. Тестувальники використовують базу для створення автоматичних penetration-тестів, щоб перевірити систему на вразливості.
Процес додавання нових кодів в базу починається з виявлення вразливості, яка може бути знайдена дослідником з кібербезпеки, інженером або іншим спеціалістом. Після виявлення вразливості спеціаліст подає заявку на її реєстрацію до відповідного органу, який адмініструє базу даних CVE. Цей орган перевіряє заявку, присвоює їй унікальний ідентифікатор та додає до бази даних. Наразі (травень 2024 року) в базі СVE налічується 237,725 різного роду вразливостей, інформацію про які можна скачати на сайті CVE, або скористатись пошуком. Цю базу, до речі можна використовувати під час навчання програмуванню (для пет-проєктів тощо) та тестуванню.
Приклади найвідоміших та найнебезпечніших CVE в історії
CVE-2017-0144: EternalBlue
Вразливість у протоколі SMBv1 від Microsoft, яку використовували для поширення шкідливого програмного забезпечення, такого як WannaCry та NotPetya. EternalBlue дозволяла зловмиснику віддалено виконувати код на цільовій системі. Через цю вразливість було завдано величезних збитків по всьому світу.
CVE-2014-0160: Heartbleed
Це вразливість у бібліотеці OpenSSL, яка дозволяла зловмисникам читати пам'ять сервера або клієнта, що призводило до розголошення чутливих даних, таких як приватні ключі, паролі та інша конфіденційна інформація. Heartbleed серйозно вплинула на безпеку багатьох веб-сайтів та сервісів.
CVE-2016-5195: Dirty COW
Вразливість у ядрі Linux, яка дозволяла локальному користувачеві підвищувати свої привілеї та отримувати доступ до системи з правами адміністратора. Dirty COW була присутня в ядрі Linux більше дев'яти років, перш ніж була виявлена та виправлена.
CVE-2017-5638: Apache Struts
Вразливість у фреймворку Apache Struts дозволяла віддаленому зловмиснику виконувати код на сервері. Вразливість була використана під час атаки на Equifax у 2017 році, що призвело до компрометації персональних даних понад 143 мільйонів людей.
CVE-2018-7600: Drupalgeddon 2
Вразливість у системі управління контентом Drupal, яка дозволяла зловмиснику виконувати код на сервері. Drupalgeddon 2 вплинула на безліч веб-сайтів, які використовували цю платформу.
CVE-2021-44228: Log4Shell
Ввразливість у бібліотеці Apache Log4j, яка використовується для логування в Java-аплікаціях, дозволяла віддаленому зловмиснику виконувати довільний код на сервері. Log4Shell вважалася однією з найбільш критичних вразливостей останніх років через її широке розповсюдження та потенційний вплив на багато організацій.
Цей блок містить всю необхідну інформацію для правильного цитування, включаючи дату публікації, назву допису, URL та інше.
Зверніть увагу, що посилатись потрібно на автора/авторку контенту (профіль, окремий допис тощо), а сайт цейво (tseivo.com) - лише майданчик для розміщення публікацій.
💡 Архівування сторінки у веб-архіві, такому як Wayback Machine, є корисною практикою, коли ви посилаєтесь на неї. Це дозволить зберегти стан сторінки на цей час і знизить ризики від зміни контенту або зміни структури сайту у майбутньому.
Оберіть та скопіюйте потрібний стандарт цитування:
ДСТУ 8302:2015
Для чого потрібна база даних CVE (Common Vulnerabilities and Exposures)? [Електронний ресурс] // tseivo.com. – Режим доступу: https://tseivo.com/b/memecode/t/xzxb9xrq0g/dlia-choho-potribna-baza-danykh-cve-common-vulnerabilities-and-exposures (дата звернення: 03.10.2024). – Назва з екрана.
ДСТУ ГОСТ 7.1:2006 (ВАК)
Для чого потрібна база даних CVE (Common Vulnerabilities and Exposures)? [Електронний ресурс] // tseivo.com. – URL: https://tseivo.com/b/memecode/t/xzxb9xrq0g/dlia-choho-potribna-baza-danykh-cve-common-vulnerabilities-and-exposures (дата звернення: 03.10.2024).
Або ж використовуйте наступну інформацію для формування цитування:
Дата публікації:
29.05.2024
Назва допису:
Для чого потрібна база даних CVE (Common Vulnerabilities and Exposures)?
Автор/авторка пише під псевдонимом і не оприлюднює своє справжнє ім'я. Завжди перевіряйте достовірність контенту використовуючи декілька джерел (навіть, якщо контент опублікован під справжнім ім'ям).
Про зображення:
На нашій платформі ми приділяємо особливу увагу правильному вказуванню джерел зображень, щоб забезпечити дотримання авторських прав і прав на використання контенту. Ми намагаємося мотивувати використовувати виключно власні зображення, ресурси, що відповідають принципам fair use, або безкоштовні зображення з ліцензіями на кшталт Unsplash, які дозволяють вільне використання без порушення прав інтелектуальної власності.
Однак, враховуючи масштаб нашої платформи та різноманітність контенту, ми не можемо повністю контролювати всі публікації користувачів. Тому ми рекомендуємо перевіряти права на використання зображень та дотримуватися відповідних ліцензій, щоб уникнути можливих порушень авторських прав.
Інформація на сайті tseivo.com є суб'єктивною та відображає особисті погляди та досвід авторів та авторок блогів.
Використовуйте цей ресурс як одне з декількох джерел інформації під час своїх досліджень та прийняття рішень. Завжди застосовуйте критичне мислення. Людина сама несе відповідальність за свої рішення та дії.