Etsiessäsi verkosta tietoja haavoittuvuuksista ja esimerkiksi tutustuessasi tietoturva-auditointiraporttiin olet varmasti törmännyt CVE-alkuisiin tunnuksiin. Mikä tuo CVE sitten on?
CVE on lyhenne sanoista Common Vulnerabilities and Exposures - yleinen haavoittuvuuksien ja paljastuneiden heikkouksien hallintamenetelmä. CVE-tunnisteen voi saada niin käyttöjärjestelmän, sovellusohjelman kuin vaikkapa reitittimen haavoittuvuus. CVE-tunniste siis yksilöi haavoittuvuuden.
Hankkeessa haavoittuvuudelle luodaan mahdollisimman selkeä kuvausteksti, annetaan sille järjestysnumero ja verkkoa kahlaamalla lista lisätietoreferensseistä. Ohessa esimerkki Windowsia koskevan CVE-tunnisteen CVE-2011-0096 kuvauskentästä:
Ilman CVE-järjestelmää haavoittuvuuksien hallinta esimerkiksi pelkkien haavoittuvuustietokantojen ja valmistajien tietoturvatiedotteiden avulla olisi hyvin hankalaa. Hanke on jo yli kymmenen vuoden ikäinen ja tunnisteita on annettu jo lähes 45 000 kappaletta. Hanketta pyörittää yhdysvaltalainen MITRE Corporation, joka saa hankkeeseen tukea Yhdysvaltain Kotimaan turvallisuuden virastolta. Yksityiskohtaisempi National Vulnerability Database -tietokanta NVD taas käyttää CVE:n tietoja.
Erityisesti CVE-tunniste auttaa yhdistämään tietyt haavoittuvuudet ja niihin julkaistut korjauspäivitykset toisiinsa.
CVE-tunnisteiden muoto on CVE-2011-xxxx.
Tässä CVE merkitään aina isoin kirjaimin, 2011 on julkaisuvuosi ja xxxx neljällä numerolla ilmaistu järjestysnumero. Tiedot on eroteltu toisistaan yhdysmerkillä.
Huomattavan vanhoja haavoittuvuuksia käsitellessä voi törmätä tunnisteeseen muotoa CAN-2003-0714. Tällöin kyseessä on ns. kandidaattitunniste, jolla ei luontihetkellä ollut vielä virallisen tunnisteen roolia. Tieto käy ilmi tunnisteen Status-kentästä, mutta CAN-tunnisteiden käytöstä on muutama vuosi sitten luovuttu.
Referensseistä tiedon lähteille
Kun CVE:stä tulee julkinen on sillä ainakin yksi referenssilinkki - valmistajan tietoturvatiedote, linkki postituslistalla julkaistuun hyökkäyskoodiin tai verkossa julkaistu hyödyllinen analyysi haavoittuvuudesta. Referenssi kuuluu johonkin yli 80 lähdekategoriasta, esim. BID:45254 tarkoittaa BID-tietuetta (Bugtraq ID) numero 45254 SecurityFocus-haavoittuvuustietokannassa. Esimerkissä käytetyn OpenSSL-haavoittuvuuden referenssi REDHAT:RHSA-2010:0977 puolestaan viittaa Linux-jakelija RedHatin tiedotteeseen (RedHat Security Advisory) otsikolla RHSA-2010:0977. Haavoittuvuuskenttä onkin melkoinen lyhenteiden temmellyskenttä.
Uusi aukko, mutta sillähän on jo CVE
Isot ohjelmistovalmistajat, kuten Apple, Microsoft, Red Hat ja Oracle saavat sarjan CVE-tunnuksia käyttöönsä vuosittain. Mitä tämä tarkoittaa sitten käytännössä? Kun kohtaat esimerkkinä käyttämämme CVE-tunnisteen CVE-2011-0096 löydät siitä tiedon
Assigned (20101221): 
Ohjelmistovalmistaja, eli tässä tapauksessa Microsoft, on osoittanut tunnisteen tälle haavoittuvuudelle 21. joulukuuta. Kun haavoittuvuus tulee julkiseksi ja siitä julkaistaan esimerkiksi tietoturvatiedote voidaan CVE:hen viitata ja linkittää saman tien.
Myös yksityiset tietoturvatutkijat voivat hakea löytämilleen haavoittuvuuksille oman CVE:n. Hyvä käytäntö on kertoa hakuajankohta tietoturvatiedotteen aikatauluosiossa:
VIII. DISCLOSURE TIMELINE
04/23/2009 - Requested CVE
04/24/2009 - CVE received
Kirjoitus kuuluu haavoittuvuuksiin liittyviin termeihin ja lyhenteisiin tutustuttavaan kirjoitussarjaan.
Kommentoi
blogi