Common Vulnerabilities and Exposures (CVE, traducción: «Vulnerabilidades y exposiciones comunes»), es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia tiene un número de identificación CVE-ID, descripción de la vulnerabilidad, que versiones del software están afectadas, posible solución al fallo (si existe) o como configurar para mitigar la vulnerabilidad y referencias a publicaciones o entradas de foros o blog donde se ha hecho pública la vulnerabilidad o se demuestra su explotación. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración.[1][2][3]
El CVE-ID ofrece una nomenclatura estándar para identificación de la vulnerabilidad de forma inequívoca que es usada en la mayoría de repositorios de vulnerabilidades.
Es definido y es mantenido por The MITRE Corporation (por eso a veces a la lista se la conoce por el nombre MITRE CVE List) con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América. Forma parte del llamado Security Content Automation Protocol.
La información y nomenclatura de esta lista son usadas en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades.
Proceso de incorporación de una vulnerabilidad
Para que una vulnerabilidad recién descubierta sea incorporada totalmente al listado, tiene que seguir un proceso que consta de tres etapas:[3]
- Etapa de presentación inicial y tratamiento. En ella el CVE Content Team se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE.
- Etapa de candidatura. Es la de asignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas:
- Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
- Una asignación directa por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo de día cero sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo.
- Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVE que van asignando a sus boletines de seguridad.
- Etapa de publicación en la lista (si es que la candidatura es aceptada). Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de revisión en la que se pueden tener cambios con respecto al contenido de la descripción o incluso añadir nuevas referencias que la sustenten.
En estas etapas está la razón de que por qué la lista CVE no tiene vulnerabilidades de día cero (recién descubiertas).
Formato del identificador
Los formatos usados para identificar los elementos de esta lista se denominan CVE-ID y tienen las siguientes formas:
- El formato para las entradas CVE es:
CVE-YYYY-NNNN
(YYYY
indica el año yNNNN
el número de vulnerabilidad). Desde enero de 2014 este identificador puede contener, si es necesario, más de cuatro dígitos.[3] - El formato para las entradas candidatas a entrar en el CVE es:
CAN-YYYY-NNNN
(YYYY
indica el año yNNNN
el número de vulnerabilidad)
Coordinación con otras organizaciones
la MITRE CVE List funciona como un sitio centralizado de vulnerabilidades con el que colaboran organizaciones acreditadas en distintos países. A estas organizaciones se les llama Autoridades de Numeración de CVE o CNA (del inglés CVE Numbering Authority) y sus funciones principales son identificar vulnerabilidades, asignar identificadores CVE, informar al MITRE de sus descubrimientos y publicar información sobre vulnerabilidades. Todo ello de forma coordinada con el MITRE. El MITRE es considerado como el CNA primario.[4]
Para ser CNA se tiene que acreditar haber establecido ciertas prácticas de gestión de vulnerabilidades así como una política de divulgación de vulnerabilidades adecuada. Típicamente los CNA's que son empresas vinculadas al software, CERT's (tanto nacionales como empresas) y organizaciones vinculadas al estudio de vulnerabilidades.[4]
Dentro de los CNA están los CNA Raíz que son organizaciones que cubren cierta área o nicho y controlan al resto de CNA's dentro de ese nicho. En muchos casos, son compañías importantes, que gestionan vulnerabilidades de sus propios productos (por ejemplo, Apple y Microsoft), o están enfocados en cierto tipo de vulnerabilidad (por ejemplo, Red Hat para software libre).[4]
Véase también
Referencias
- ↑ George K. Kostopoulos, "Cyberspace and Cybersecurity". CRC Press 2013
- ↑ Seguridad en aplicaciones Web Java. José Manuel Ortega Candel. Editorial Ra-Ma 2018
- ↑ a b c Ocho siglas relacionadas con las vulnerabilidades (I): CVE. ElevenPaths. 3 enero de 2014
- ↑ a b c What is CVE? - Common Vulnerabilities and Exposures. SecurityTrails. 10 de Diciembre de 2019
Bibliografía
- Brent Lee Holtsclaw, "Customizable Vulnerability Analysis and Classification". ProQuest LLC 2008.
Enlaces externos
- Sitio oficial de CVE. MITRE
- Soluciones
- INTECO-CERT Archivado el 14 de mayo de 2010 en Wayback Machine.: Servicio de traducción oficial de vulnerabilidades del NIST a español.