¿Qué tan general debe ser una vulnerabilidad para ser elegible para un CVE?

11

¿Qué vulnerabilidades son lo suficientemente comunes como para convertirse en CVE? ¿Está relacionado solo con las "aplicaciones", o también se aceptan sitios web? ¿Se considera que una vulnerabilidad en un sitio web impopular (o un servicio local) es lo suficientemente común?

    
pregunta SeMeKh 03.04.2013 - 01:40
fuente

4 respuestas

10

De las Preguntas frecuentes sobre CVE :

  

Una vulnerabilidad de seguridad de la información es un error en el software que   puede ser utilizado directamente por un pirata informático para obtener acceso a un sistema o   red. Vea la página de Terminología para una explicación completa de cómo   este término se usa en el sitio web de CVE.

  

La intención de CVE es ser comprensivo con respecto a todos   Vulnerabilidades y exposiciones públicamente conocidas. Mientras que CVE está diseñado para   contiene información madura, nuestro enfoque principal es identificar   vulnerabilidades y exposiciones que son detectadas por las herramientas de seguridad y   Cualquier nuevo problema que se haga público.

Si se infringió un sitio web individual, es poco probable que los propietarios de los sitios web se den a conocer públicamente. Si hicieran públicos los detalles, y solo afectara a su propio software propietario, sería de poco valor para el público. Si la vulnerabilidad estaba en el software utilizado y producido por algún proveedor (abierto o cerrado), es probable que se trate de un CVE.

Si se infringe un sitio web, es posible que no sea el resultado de un ataque de tipo CVE, pero tal vez sea el enumeración de debilidad más común (CWE ). Por ejemplo, si un sitio fue violado por inyección de SQL o XSS, la cadena específica probablemente no sea un CVE, pero podría clasificarse bajo el CWE.

Si está buscando detalles de ataques a sitios web específicos, desearía buscar informes de infracciones, como los Datos del Centro de Información de Privacy Right Lista de infracciones .

La mejor manera de probar esto sería tratar de enviar su búsqueda y ver qué quiere hacer la comunidad de CVE en su proceso de revisión.

    
respondido por el Eric G 03.04.2013 - 05:02
fuente
3

Entiendo que los problemas que afectan a sitios web individuales (por ejemplo, un XSS en facebook) no son elegibles para un CVE, aunque las aplicaciones web sí lo son. Por lo tanto, un problema que solo afecta a Facebook no lo es, sino un problema en una aplicación web como WordPress.

La aplicación no tiene que ser popular: una vez solicité un CVE para una aplicación que probablemente tenga menos de 1,000 usuarios.

Puede solicitar un CVE directamente desde Mitre o (para el software de código abierto) a través de oss-security lista de correo: si hay un problema o el problema no es elegible, Te lo haré saber.

Hay otros grupos como OSVDB que hacen un seguimiento de una gama más amplia de problemas; aunque tampoco creo que rastreen problemas en sitios web específicos.

    
respondido por el Adam Caudill 03.04.2013 - 04:40
fuente
1

Las CVE son para las vulnerabilidades en el software que se envía y luego se consume, no para las vulnerabilidades en los servicios (por ejemplo, sitios web). Entonces, si una vulnerabilidad en el servicio (por ejemplo, un sitio web) se encuentra en algo que está ampliamente disponible como paquete de software (por ejemplo, un defecto que se encuentra en su raíz en Apache, o PHP o WordPress por ejemplo), entonces el fallo en ese paquete de software obtener un CVE.

Si la falla se encuentra en un servicio que es un software escrito personalizado que no está disponible para descargar (por ejemplo, Amazon, eBay, etc.), esa vulnerabilidad no obtendrá un CVE.

En última instancia, el objetivo de CVE es proporcionar un identificador para una vulnerabilidad, de modo que cuando varias organizaciones (por ejemplo, el reportero y la corriente ascendente y la comunidad que lo usan) necesiten discutir la vulnerabilidad, todos pueden estar seguros de que realmente están hablando la misma cosa.

    
respondido por el Kurt 17.05.2016 - 21:28
fuente
0

Por razones de exactitud, ahora lo han publicado sobre qué proveedores / software les interesa para el CVE: Productos cubiertos por CVE

    
respondido por el Yuri 04.10.2016 - 21:38
fuente

Lea otras preguntas en las etiquetas