fbpx
Wikipedia

Common Vulnerabilities and Exposures

Enero 14, 2022

Las Vulnerabilidades y exposiciones comunes ( en inglés, Common Vulnerabilities and Exposures, siglas CVE), es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia tiene un número de identificación CVE-ID, descripción de la vulnerabilidad, que versiones del software están afectadas, posible solución al fallo (si existe) o como configurar para mitigar la vulnerabilidad y referencias a publicaciones o entradas de foros o blog donde se ha hecho pública la vulnerabilidad o se demuestra su explotación. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración. [1][2][3]

El CVE-ID ofrece una nomenclatura estándar para identificación de la vulnerabilidad de forma inequívoca que es usada en la mayoría de repositorios de vulnerabilidades.

Es definido y es mantenido por The MITRE Corporation (por eso a veces a la lista se la conoce por el nombre MITRE CVE List) con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América. Forma parte del llamado Security Content Automation Protocol.

La información y nomenclatura de esta lista son usadas en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades.

Proceso de incorporación de una vulnerabilidad

Para que una vulnerabilidad recién descubierta sea incorporada totalmente al listado, tiene que seguir un proceso que consta de tres etapas:[3]

  • Etapa de presentación inicial y tratamiento. En ella el CVE Content Team se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE.
  • Etapa de candidatura. Es la de asignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas:
    • Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
    • Una asignación directa por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo de día cero sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo.
    • Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVE que van asignando a sus boletines de seguridad.
  • Etapa de publicación en la lista (si es que la candidatura es aceptada). Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de revisión en la que se pueden tener cambios con respecto al contenido de la descripción o incluso añadir nuevas referencias que la sustenten.

En estas etapas está la razón de que por qué la lista CVE no tiene vulnerabilidades de día cero (recién descubiertas).

Formato del identificador

Los formatos usados para identificar los elementos de esta lista se denominan CVE-ID y tienen las siguientes formas:

  • El formato para las entradas CVE es: CVE-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad). Desde enero de 2014 este identificador puede contener, si es necesario, más de cuatro dígitos.[3]
  • El formato para las entradas candidatas a entrar en el CVE es: CAN-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad)

Coordinación con otras organizaciones

la MITRE CVE List funciona como un sitio centralizado de vulnerabilidades con el que colaboran organizaciones acreditadas en distintos países. A estas organizaciones se les llama Autoridades de Numeración de CVE o CNA (del inglés CVE Numbering Authority) y sus funciones principales son identificar vulnerabilidades, asignar identificadores CVE, informar al MITRE de sus descubrimientos y publicar información sobre vulnerabilidades. Todo ello de forma coordinada con el MITRE. El MITRE es considerado como el CNA primario.[4]

Para ser CNA se tiene que acreditar haber establecido ciertas prácticas de gestión de vulnerabilidades así como una política de divulgación de vulnerabilidades adecuada. Típicamente los CNA's que son empresas vinculadas al software, CERT's (tanto nacionales como empresas) y organizaciones vinculadas al estudio de vulnerabilidades.[4]

Dentro de los CNA están los CNA Raíz que son organizaciones que cubren cierta área o nicho y controlan al resto de CNA's dentro de ese nicho. En muchos casos, son compañías importantes, que gestionan vulnerabilidades de sus propios productos (por ejemplo, Apple y Microsoft), o están enfocados en cierto tipo de vulnerabilidad (por ejemplo, Red Hat para software libre).[4]


Referencias

  • web sobre CVE de MITRE
  • Brent Lee Holtsclaw, "Customizable Vulnerability Analysis and Classification". ProQuest LLC 2008.
  1. George K. Kostopoulos, "Cyberspace and Cybersecurity". CRC Press 2013
  2. Seguridad en aplicaciones Web Java. José Manuel Ortega Candel. Editorial Ra-Ma 2018
  3. Ocho siglas relacionadas con las vulnerabilidades (I): CVE. ElevenPaths. 3 enero de 2014
  4. What is CVE? - Common Vulnerabilities and Exposures. SecurityTrails. 10 de Diciembre de 2019

Véase también

Enlaces externos

  • Sitio oficial de CVE. MITRE
  • Soluciones
  • INTECO-CERT: Servicio de traducción oficial de vulnerabilidades del NIST a español.
  •   Datos: Q94950995

Enero 14, 2022
common, vulnerabilities, exposures, vulnerabilidades, exposiciones, comunes, inglés, siglas, lista, información, registrada, sobre, vulnerabilidades, seguridad, conocidas, cada, referencia, tiene, número, identificación, descripción, vulnerabilidad, versiones,. Las Vulnerabilidades y exposiciones comunes en ingles Common Vulnerabilities and Exposures siglas CVE es una lista de informacion registrada sobre vulnerabilidades de seguridad conocidas en la que cada referencia tiene un numero de identificacion CVE ID descripcion de la vulnerabilidad que versiones del software estan afectadas posible solucion al fallo si existe o como configurar para mitigar la vulnerabilidad y referencias a publicaciones o entradas de foros o blog donde se ha hecho publica la vulnerabilidad o se demuestra su explotacion Ademas suele tambien mostrarse un enlace directo a la informacion de la base de datos de vulnerabilidades del NIST NVD en la que pueden conseguirse mas detalles de la vulnerabilidad y su valoracion 1 2 3 El CVE ID ofrece una nomenclatura estandar para identificacion de la vulnerabilidad de forma inequivoca que es usada en la mayoria de repositorios de vulnerabilidades Es definido y es mantenido por The MITRE Corporation por eso a veces a la lista se la conoce por el nombre MITRE CVE List con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de America Forma parte del llamado Security Content Automation Protocol La informacion y nomenclatura de esta lista son usadas en la National Vulnerability Database el repositorio de los Estados Unidos de America de informacion sobre vulnerabilidades Indice 1 Proceso de incorporacion de una vulnerabilidad 2 Formato del identificador 3 Coordinacion con otras organizaciones 4 Referencias 5 Vease tambien 6 Enlaces externosProceso de incorporacion de una vulnerabilidad EditarPara que una vulnerabilidad recien descubierta sea incorporada totalmente al listado tiene que seguir un proceso que consta de tres etapas 3 Etapa de presentacion inicial y tratamiento En ella el CVE Content Team se encarga de analizar investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE Etapa de candidatura Es la de asignacion del CVE ID que puede llevarse a cabo de tres maneras distintas Una asignacion directa por parte del CVE Content Team despues de que este realice el estudio de la nueva propuesta de vulnerabilidad Una asignacion directa por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad critica Ocurre por ejemplo cuando se descubre un fallo de dia cero sin claro autor definido Si no lo asume el fabricante es esta organizacion la que directamente debe asignar un CVE para identificarlo Una reserva de un identificador CVE ID por parte de una organizacion o individuo antes de hacer la propuesta Habitualmente los grandes fabricantes reservan en el ano un lote de CVE que van asignando a sus boletines de seguridad Etapa de publicacion en la lista si es que la candidatura es aceptada Puede prolongarse un periodo de tiempo indefinido ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario sino que incluye tambien los procesos de revision en la que se pueden tener cambios con respecto al contenido de la descripcion o incluso anadir nuevas referencias que la sustenten En estas etapas esta la razon de que por que la lista CVE no tiene vulnerabilidades de dia cero recien descubiertas Formato del identificador EditarLos formatos usados para identificar los elementos de esta lista se denominan CVE ID y tienen las siguientes formas El formato para las entradas CVE es CVE YYYY NNNN YYYY indica el ano y NNNN el numero de vulnerabilidad Desde enero de 2014 este identificador puede contener si es necesario mas de cuatro digitos 3 El formato para las entradas candidatas a entrar en el CVE es CAN YYYY NNNN YYYY indica el ano y NNNN el numero de vulnerabilidad Coordinacion con otras organizaciones Editarla MITRE CVE List funciona como un sitio centralizado de vulnerabilidades con el que colaboran organizaciones acreditadas en distintos paises A estas organizaciones se les llama Autoridades de Numeracion de CVE o CNA del ingles CVE Numbering Authority y sus funciones principales son identificar vulnerabilidades asignar identificadores CVE informar al MITRE de sus descubrimientos y publicar informacion sobre vulnerabilidades Todo ello de forma coordinada con el MITRE El MITRE es considerado como el CNA primario 4 Para ser CNA se tiene que acreditar haber establecido ciertas practicas de gestion de vulnerabilidades asi como una politica de divulgacion de vulnerabilidades adecuada Tipicamente los CNA s que son empresas vinculadas al software CERT s tanto nacionales como empresas y organizaciones vinculadas al estudio de vulnerabilidades 4 Dentro de los CNA estan los CNA Raiz que son organizaciones que cubren cierta area o nicho y controlan al resto de CNA s dentro de ese nicho En muchos casos son companias importantes que gestionan vulnerabilidades de sus propios productos por ejemplo Apple y Microsoft o estan enfocados en cierto tipo de vulnerabilidad por ejemplo Red Hat para software libre 4 Referencias Editarweb sobre CVE deMITRE Brent Lee Holtsclaw Customizable Vulnerability Analysis and Classification ProQuest LLC 2008 George K Kostopoulos Cyberspace and Cybersecurity CRC Press 2013 Seguridad en aplicaciones Web Java Jose Manuel Ortega Candel Editorial Ra Ma 2018 a b c Ocho siglas relacionadas con las vulnerabilidades I CVE ElevenPaths 3 enero de 2014 a b c What is CVE Common Vulnerabilities and Exposures SecurityTrails 10 de Diciembre de 2019Vease tambien EditarAgujero de seguridad Error de softwareEnlaces externos EditarSitio oficial de CVE MITRE Soluciones INTECO CERT Servicio de traduccion oficial de vulnerabilidades del NIST a espanol Datos Q94950995 Obtenido de https es wikipedia org w index php title Common Vulnerabilities and Exposures amp oldid 128947520, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos