Estoy realmente interesado en la seguridad de TI y me gustaría saber cómo funcionan los informes de vulnerabilidad.
¿Hay una base de datos central para esas cosas? A menudo veo CVE-XXX-XXX en las divulgaciones, pero no entiendo muy bien cómo funciona la numeración y qué base de datos guarda la información sobre ese informe.
¿Qué debería hacer uno para publicar un nuevo informe de vulnerabilidad en Internet?
Hay varias organizaciones que mantienen bases de datos de vulnerabilidad. NVD de NIST es probablemente la OMI más notable
Las CVE son fallas de software (enumeración de vulnerabilidad común), pero también se usan otros prefijos, como CCE para enumeración de configuración común, que son problemas de configuración errónea, como contraseñas predeterminadas que se adivinan fácilmente, y puertos expuestos de forma predeterminada, etc.
CVE es el más cercano a una base de datos central, aunque se describen a sí mismos como "un diccionario, no una base de datos".
Su objetivo es proporcionar un identificador único para cada problema de seguridad conocido. Antes de CVE, a menudo habría confusión porque los nombres se usaron, por lo que una herramienta de escaneo de red podría informar de "Desbordamiento de búfer en el Servicio de Windows Server", mientras que otra informaría "Ejecución de código en Windows". CVE resuelve este problema dando a cada problema un identificador único como CVE-2008-4250. El uso de CVE es casi universal: casi todos los proveedores e investigadores se comunicarán con CVE para obtener un número único antes de emitir un aviso. Una cosa a tener en cuenta es que no es completamente universal.
Un número CVE corresponde a una vulnerabilidad conocida en una pieza particular de software comercial o de código abierto. Por lo tanto, la "secuencia de comandos entre sitios" es un problema genérico y no tiene su propio CVE (en realidad, para eso es CWE). Pero "las secuencias de comandos entre sitios en Apache Roller" obtendrían un CVE. Las vulnerabilidades en el software a medida (por ejemplo, XSS en Facebook) normalmente no obtienen un CVE.
CVE en sí no es una base de datos detallada. La base de datos contiene una breve descripción y referencias a otras bases de datos. Para obtener información más detallada, las buenas fuentes son: Security Focus, Secunia, NIST y los avisos del proveedor de software. Si busca explotaciones, Metasploit y Exploit DB son buenos lugares.
Lea otras preguntas en las etiquetas known-vulnerabilities databases