CVE – haavoittuvuusmaailman kolme tärkeää kirjainta

Microsoft on löytänyt uusista Windows-käyttöjärjestelmistään äärimmäisen pahoja haavoittuvuuksia − Haavoittuvuudet (CVE-2019-1181, CVE-2019-1182, CVE-2019-1222 ja CVE-2019-1226) ovat Remote Desktop Service (RDS) -toteutuksessa.

Lyhenne CVE vuosiluvulla ja koodilla varustettuna vilisee silmissä vähänkään teknisempiä uutisia ja artikkeleita lukiessa. Mistä lyhenne tulee ja mihin CVE-tunnuksia käytetään?

Vuosikymmeniä käytetty järjestelmä

CVE-lyhenne tulee sanoista Common Vulnerabilities and Exposures eli vapaasti käännettynä yleiset haavoittuvuudet ja paljastuneet tietoturvapuutteet. Kyseessä on yleinen haavoittuvuuksien ja paljastuneiden heikkouksien hallintamenetelmä, joka sisältää vuodesta 1999 lähtien julkaistut tunnetut haavoittuvuudet. yhtä lailla jättiyritys Microsoft Yhdysvalloissa kuin iltapuhteinaan haavoittuvuuksia etsivä Liisa Kuopiosta voi hakea löydökselleen CVE-tunnuksen yksilöimään uutta haavoittuvuutta.

CVE-tunniste (tai CVE-id), esimerkissämme Shellshock-haavoittuvuuden tunniste CVE-2014-6271, muodostuu kolmesta osasta:

CVE-alkuosa:          CVE
Vuosiluku:               2014
Juokseva numero:  6271

Tunnisteen avulla ylläpitäjä voi selvittää, onko tietty haavoittuvuus mukana asennetuissa korjauspaketeissa. CVE:n referenssilinkkien kautta taas voi hakea lisää tietoa haavoittuvuudesta. Lisätietoa saa mm. Linux-jakeluiden tietoturvatiedotteista jotka CVE-tunnukseen on linkitetty.

Vakavuusluokitus NVD-kannan kautta

Aina ei haavoittuvuuksille tai ohjelmistoheikkouksille ole annettu CVE-tunnusta. Jos tunnus kuitenkin löytyy, sillä on yhteys myös National Vulnerability Database -tietokantaan, ns. NVD:een. Esimerkiksi Shellshock-haavoittuvuuden CVE-2014-6271:ssä on linkki NVD-kantaan, joka kertoo haavoittuvuuden vakavuudeksi CVSS-asteikolla korkeimman eli 10.0:n. Common Vulnerability Scoring System -pisteytysjärjestelmästä blogissa pian lisää.