CVE

公共漏洞和暴露的簡稱

CVE 的英文全稱是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一個字典表,為廣泛認同的信息安全漏洞或者已經暴露出來的弱點給出一個公共的名稱。使用一個共同的名字,可以幫助用戶在各自獨立的各種漏洞資料庫中和漏洞評估工具中共享數據,雖然這些工具很難整合在一起。這樣就使得CVE成為了安全信息共享的“關鍵字”。如果在一個漏洞報告中指明的一個漏洞,如果有CVE名稱,你就可以快速地在任何其它CVE兼容的資料庫中找到相應修補的信息,解決安全問題。

產生背景


隨著全球範圍的黑客入侵不斷猖獗,信息安全問題越來越嚴重。在對抗黑客入侵的安全技術中,實時入侵檢測和漏洞掃描評估(IDnA——Intrusion Detection and Assessment)的技術和產品已經開始佔據越來越重要的位置。
實時入侵檢測和漏洞掃描評估基於的主要方法還是“已知入侵手法檢測”和“已知漏洞掃描”,換句話說就是基於知識庫的技術。可見,決定一個IDnA技術和產品的重要標誌就是能夠檢測的入侵種類和漏洞數量。
1999年2月8日的 InfoWorld在比較當時ISS的Internet Scanner5.6和NAI的CyberCop2.5時有一段描述,“由於沒有針對這些掃描器平台的分類標準,直接比較他們的資料庫非常困難。我們找到在Internet Scanner和CyberCop中同一個漏洞採用了不同的名稱……”
各個IDnA廠家在闡述自己產品的水平時,都會聲稱自己的掃描漏洞數最多,你說有1000種,我說有5000。我們的用戶如何辨別?不同的廠家在入侵手法和漏洞這方面的知識庫各有千秋,用戶如何最大限度地獲得所有安全信息?CVE就是在這樣的環境下應運而生的。

特點


-為每個漏洞和暴露確定了唯一的名稱
-給每個漏洞和暴露一個標準化的描述
-不是一個資料庫,而是一個字典
-任何完全迥異的漏洞庫都可以用同一個語言表述
-由於語言統一,可以使得安全事件報告更好地被理解,實現更好的協同工作
-可以成為評價相應工具和資料庫的基準
-非常容易從網際網路查詢和下載,
-通過“CVE編輯部”體現業界的認可
CVE 開始建立是在1999年9月,起初只有321個條目。在2000年10月16日,CVE達到了一個重要的里程碑——超過1000個正式條目。截至目前(2000年12月30日),CVE已經達到了1077個條目,另外還有1047個候選條目(版本20001013)。至2013年已經有超過28個漏洞庫和工具聲明為CVE兼容。

條目舉例

Land是一個非常著名的拒絕服務攻擊的例子。該攻擊的主要原理就是構造一個偽造源地址等於目的地址的IP數據包。當存在相應漏洞的主機收到這樣的攻擊包,會由於不斷的自我響應造成系統資源的過度消耗和崩潰。
在許多種漏洞資料庫中都有相應的條目,但是說法各不相同,有Land, Teardrop_land, land.c, Impossible IP packet, Land Loopback Attack等等多種命名方法,用戶無所適從。如下圖:
如果有了CVE這個公共的命名標準,所有的漏洞庫都會對應到CVE字典。如下圖:
在CVE字典中會出現一個共同認可的名稱和描述:
CVE 版本: 20001013
名稱 CVE-1999-0016
描述 Land IP拒絕服務

參考引用

CERT: CA-97.28.Teardrop_Land
FreeBSD: FreeBSD-SA-98:01
HP: HPSBUX9801-076
ISS-XF: cisco-land
ISS-XF: land
ISS-XF: 95-verv-tcp
ISS-XF: land-patch
ISS-XF: ver-tcpip-sys
條目創建時間:19990929

兼容

“CVE兼容”意味著一個工具、網站、資料庫或者其它安全產品使用CVE名稱,並且允許與其它使用CVE命名方式的產品交叉引用。不同的工具提供不同的引用方式:
#61550; CVE查詢——用戶可以通過CVE名稱在產品中搜索相關的信息
#61550; CVE輸出——在產品提供的信息中,包括相關的CVE名稱
#61550; CVE映射——CVE的條目和產品中的信息完全對應
至2013宣布兼容CVE的廠家和機構有28個,這些都是在IDnA領域中大牌。下面是一些典型機構的兼容情況:
機構聲明 產品兼容情況
ISS公司 CVE命名標準對於信息安全界和用戶來說一個重大的飛躍。作為一個安全管理軟體和服務的技術先鋒,ISS非常榮幸地參與這個標準的推進,為每個組織的信息資產提供有效的保護。
——Christopher Klaus, 創始人兼CTO 全線的掃描器產品、入侵檢測產品RealSecure和X-Force知識庫都全面支持CVE查詢和輸出
Axent公司 AXENT非常樂意與MITRE合作推進漏洞名稱的標準化工作,增加安全工具間的協同工作能力。這個聯盟會促進電子商務的安全性。我們將會在我們的IDnA產品中結合CVE命名計劃。
——Craig Ozancin, SWAT小組安全分析員 只有ESM和NetRecon支持CVE查詢,SWAT和NetProwler等產品還不支持。
Cisco公司 Cisco認為CVE對漏洞科學界的合作非常重要。這個工具可以使我們的安全研究和產品開發小組專註在為客戶增值。Cisco會在產品中融合進這個字典。
——Andrew Balinsky, Cisco安全百科全書項目經理 全線IDnA產品雖然不兼容,但是都有兼容計劃
CERT組織 我們將開始直接提出CVE條目,並且將已經公布的建議增加CVE註釋。
——Bill Fithen, 1999年9月29日記者招待會 CERT建議庫全面支持CVE查詢和輸出
國家標準和技術協會 ICAT計劃中的對各種公開資料庫的漏洞信息索引工作離開CVE是不可能的。
——Peter Mell, 計算機安全部 ICAT Metabase將包含CVE搜索引擎和統計生成器,全面支持CVE查詢和輸出

漏洞暴露


Vulnerability (漏洞,脆弱性)這個辭彙可以有狹義和廣義多種解釋。比如說:finger服務,可能為入侵者提供很多有用的資料,但是該服務本身有時是業務必須的,而且不能說該服務本身有安全問題。1999年8月,CVE的編輯部投票表決通過,為了表達得更精確,給出了一個新的概念——Exposure(暴露)。
在所有合理的安全策略中都被認為是有安全問題的稱之為“漏洞”。漏洞可能導致攻擊者以其他用戶身份運行,突破訪問限制,轉攻另一個實體,或者導致拒絕服務攻擊等。漏洞的例子,比如:
#61550; phf (以用戶”nobody”的身份遠程執行命令)
#61550; rpc.ttdbserverd (以”root”身份遠程執行命令)
#61550; 預設口令
#61550; 可能引起藍屏死機的拒絕服務攻擊
#61550; smurf (淹沒一個子網的拒絕服務攻擊)
對那些在一些安全策略中認為有問題,在另一些安全策略中可以被接受的情況,稱之為“暴露”。暴露可能僅僅讓攻擊者獲得一些邊緣性的信息,隱藏一些行為;可能僅僅是為攻擊者提供一些嘗試攻擊的可能性;可能僅僅是一些可以忍受的行為,只有在一些安全策略下才認為是嚴重問題。暴露的例子,比如:
#61550; 運行類似finger的服務(用於獲取信息或者廣告的服務)
#61550; 從企業級的角度看,沒有很好地設置Windows NT的審計策略
#61550; 運行可能成為公共攻擊點的服務(比如:HTTP、FTP或SMTP)
#61550; 運行可能遭到強力攻擊的應用服務(比如:可能遭到字典攻擊,口令長度太小等)

組織機制


CVE這個標準的管理組織和形成機制可以說是國際先進技術標準的代表。

編輯部組成

CVE 的編輯部(Editorial Board)成員包括了各種各樣的有關信息安全的組織,包括:商業安全工具廠商,學術界,研究機構,政府機構還有一些卓越的安全專家。通過開放和合作式的討論,編輯部決定哪些漏洞和暴露要包含進CVE,並且確定每個條目的公共名稱和描述。一個獨立的非盈利組織MITRE負責召集編輯部,協調討論,在整個過程提供指導,保證CVE能夠服務於公眾的要求。編輯部會議和討論的內容會保存在網站中。如果需要,還會邀請其他相關信息安全專家加入到編輯部的工作中。
在編輯部中,我們能夠找到許多熟悉的名字:
- CERIAS美國普渡大學計算機系
- Kelly Cooper國際知名信息安全專家
- ISS這樣的著名安全工具廠商,還有NFR, Axent, PGP, Symantic等等
- Cisco, IBM, Sun, 微軟
- 美國和加拿大的CERT
- NTBugtraq, Security Focus這樣的安全門戶
- Ernst & Young這樣的著名諮詢機構
- NIST這樣的標準化和測試機構
這樣的編輯部可以說是一個超強的陣容,同時也決定了這個標準的權威地位。

命名過程

命名過程從發現一個潛在的安全漏洞和暴露開始;首先賦予一個CVE候選號碼;接著,編輯部會討論該候選條目能否成為一個CVE條目;如果候選條目被投票通過,該條目會加進CVE,並且公布在CVE網站上。所有的候選條目都可以在網站上查到,只不過CVE和候選條目是分開的。整個CVE的命名過程如下
發現——發現一個潛在的漏洞和暴露
公開——通過郵件列表、新聞組、安全建議等形式公開,並提交給CVE的權威候選編號機構CNA(由MITRE負責)
編號——CNA首先確認該漏洞和暴露是否包含在已有的CVE或候選條目中,如果不重複就可以賦予一個候選編號,編號形式CAN-yyyy-nnnn
提案——編輯可以向編輯部提出某個漏洞/暴露,編輯部成員會討論該條目並表決。表決結果可能是接收、拒絕、徹底改動、微小調整、沒有意見、繼續審查等。編輯部成員的表決和意見會記錄在CVE網站上。
修改——如果投票表決,候選條目需要修改,則修改後再提交。
中間決策——編輯可以認定一個條目是否已經完成討論,提請最終決策。
最終決策——如果認定一個條目沒有再多的修改,就提請最終決策。如果候選條目被接受就會通知所有成員;如果被拒絕則會說明原因。
正式發布——當一個候選條目被接受為CVE條目,該條目會發布在網站上。
再評估——CVE條目可能根據技術的變化,需要重新評估。再評估過程需要經過同樣過程。
撤銷——有些情況經過討論和投票表決,有些CVE條目可能會被撤銷,或合併到其它條目。

用戶選擇


用戶和網路安全管理員可以通過採用“CVE兼容”的產品,或者要求你的安全產品廠商達到CVE兼容的水平,以保證企業級安全應用的需求。在選擇相應的產品時候,用戶完全可以用CVE作為評判工具的標準。
CVE:從CVE列表開始
CVE子表:根據具體情況,選擇合適的CVE條目
評估:將那些CVE兼容的工具/資料庫和
你前面選擇的CVE子表進行直接比較
CVE名稱 工具A 工具B DB 1 DB 2 黑客站點
CVE-0000-0001 √ √ √
CVE-0000-0002 √
CVE-0000-0003 √ √ √ √
CVE-0000-0004 √ √ √

風險評估


在風險評估中最重要也是最困難的兩個環節就是風險的量化,以及找到風險項后如何尋找控制措施。CVE給了我們非常好的指導去進行風險評估中的技術評估。用戶完全可以參考CVE字典和相應的資料庫建立自己企業的風險評估指標體系,而且所有的這些風險項都可以通過CVE索引迅速地找到相應的修補控制措施。

廠商開發


安全工具廠商和漏洞
庫管理者通過符合CVE標準,為客戶提供CVE兼容的工具和資料庫,以便達到更好的風險控制覆蓋範圍,實現更容易的協同工作能力,提高客戶整個企業的安全能力。
如何制訂有實效的信息安全標準

典範


CVE不是研究室閉門造車的產物,而是行業需求、客戶需求驅動的產物,是眾多權威機構和大廠商直接支持的共同規範。
由於CVE實行這種開放式的研究和提交方式,投票表決式的決策機制,保證了CVE能夠最大限度地容納最先進、最新的安全內容,投票結果又可以反映技術界和業界的綜合意向,各方面完全不需要為標準的執行擔憂。
CVE這種開放的標準制定機制,以及行業內廠商間的這種有序競爭和合作,才是我國信息安全企業和標準制定單位最需要借鑒的
另一種:
CVE (Common Vulnerabilities & Exposures,通用漏洞披露)。 CVE 是國際著名的安全漏洞庫,也是對已知漏洞和安全缺陷的標準化名稱的列表,它是一個由企業界、政府界和學術界綜合參與的國際性組織,採取一種非盈利的組織形式,其使命是為了能更加快速而有效地鑒別、發現和修復軟體產品的安全漏洞。