CVE
Definición:

Las Vulnerabilidades y exposiciones comunes (en inglés, Common Vulnerabilities and Exposures, siglas CVE), es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia tiene un número de identificación CVE-ID, descripción de la vulnerabilidad, que versiones del software están afectadas, posible solución al fallo (si existe) o como configurar para mitigar la vulnerabilidad y referencias a publicaciones o entradas de foros o blog donde se ha hecho pública la vulnerabilidad o se demuestra su explotación. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración. 

El CVE-ID ofrece una nomenclatura estándar para identificación de la vulnerabilidad de forma inequívoca que es usada en la mayoría de repositorios de vulnerabilidades.

Es definido y es mantenido por The MITRE Corporation (por eso a veces a la lista se la conoce por el nombre MITRE CVE List) con fondos de la National Cyber Security Division del gobierno de los Estados Unidos de América. Forma parte del llamado Security Content Automation Protocol.

La información y nomenclatura de esta lista son usadas en la National Vulnerability Database, el repositorio de los Estados Unidos de América de información sobre vulnerabilidades.

Proceso de incorporación de una vulnerabilidad

Para que una vulnerabilidad recién descubierta sea incorporada totalmente al listado, tiene que seguir un proceso que consta de tres etapas:​

  • Etapa de presentación inicial y tratamiento. En ella el CVE Content Team se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE.
  • Etapa de candidatura. Es la de asignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas:
    • Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
    • Una asignación directa por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un fallo de día cero sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo.
    • Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVE que van asignando a sus boletines de seguridad.
  • Etapa de publicación en la lista (si es que la candidatura es aceptada). Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de revisión en la que se pueden tener cambios con respecto al contenido de la descripción o incluso añadir nuevas referencias que la sustenten.

En estas etapas está la razón de que por qué la lista CVE no tiene vulnerabilidades de día cero (recién descubiertas).

Formato del identificador

Los formatos usados para identificar los elementos de esta lista se denominan CVE-ID y tienen las siguientes formas:

  • El formato para las entradas CVE es: CVE-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad). Desde enero de 2014 este identificador puede contener, si es necesario, más de cuatro dígitos.
  • El formato para las entradas candidatas a entrar en el CVE es: CAN-YYYY-NNNN (YYYY indica el año y NNNN el número de vulnerabilidad)

Coordinación con otras organizaciones

la MITRE CVE List funciona como un sitio centralizado de vulnerabilidades con el que colaboran organizaciones acreditadas en distintos países. A estas organizaciones se les llama Autoridades de Numeración de CVE o CNA (del inglés CVE Numbering Authority) y sus funciones principales son identificar vulnerabilidades, asignar identificadores CVE, informar al MITRE de sus descubrimientos y publicar información sobre vulnerabilidades. Todo ello de forma coordinada con el MITRE. El MITRE es considerado como el CNA primario.

Para ser CNA se tiene que acreditar haber establecido ciertas prácticas de gestión de vulnerabilidades así como una política de divulgación de vulnerabilidades adecuada. Típicamente los CNA's que son empresas vinculadas al software, CERT's (tanto nacionales como empresas) y organizaciones vinculadas al estudio de vulnerabilidades.4

Dentro de los CNA están los CNA Raíz que son organizaciones que cubren cierta área o nicho y controlan al resto de CNA's dentro de ese nicho. En muchos casos, son compañías importantes, que gestionan vulnerabilidades de sus propios productos (por ejemplo, Apple y Microsoft), o están enfocados en cierto tipo de vulnerabilidad (por ejemplo, Red Hat para software libre).

Fuente: Wikipedia
Fecha de Creación: August 16, 2021, 1:13 am
última Modificación: August 16, 2021, 1:13 am

Aporte reciente al blog

10 Febrero 2024
  Un nuevo método de estafa está proliferando a través de WhatsApp, llegando al punto de poner en alerta a las autoridades, que advierten de su peligro a los usuarios. En este caso se trata de las llamadas desde números desconocidos extranjeros, los ...
16 Noviembre 2023
PORTAL UNICO “DOCUEST” Y "PROCEDIMIENTO PARA LA CARGA DE DOCUMENTOS CUESTIONADOS” Fecha de sanción 03-11-2023 Publicada en el Boletín Nacional del 07-Nov-2023 Resumen: APROBAR LA IMPLEMENTACION DEL PORTAL UNICO “DOCUEST” Y EL “PROCEDIMIENTO PARA LA C...

Suscribirme al Blog:

Novedades

El Dr. Dalmacio Vélez Sársfield asiste a una clase por zoom (test). Deepfake en un ciberjuicio o audiencia usando IA. Los riesgos cibernéticos derivados del uso de las nuevas tecnología dentro de un proceso judicial y la necesidad de incorporar seguros de riesgos cibernéticos a las organizaciones que brindan servicios públicos esenciales. Click para ver el video.
 

Buscar
Red Social de Informática & Derecho - Algunos derechos reservados © 2007-2024. Vías de contacto: