FAQ

FAQ : Informationen/CVE

Nein, CVEs betreffen nicht nur Software. Sie können auch Schwachstellen in Hardware, Firmware, IoT-Komponenten, Betriebssystemen oder sogar bestimmten gefährlichen Standardkonfigurationen abdecken. Beispielsweise können auch Fehler in Routern, Prozessoren oder Industrieanlagen CVE-Kennungen erhalten.

Diese breite Abdeckung ermöglicht die Berücksichtigung der verschiedenen Angriffsvektoren in einem modernen Informationssystem. Entscheidend ist, dass die Schwachstelle dokumentiert, bestätigt und öffentlich gemeldet wird, um in das CVE-Programm aufgenommen zu werden. So können Sicherheitsteams die Risiken für die gesamte Infrastruktur bewerten.

#CVE #IoT

CVE-IDs werden von einer US-amerikanischen Non-Profit-Organisation namens MITRE Corporation vergeben, die das CVE-Programm im Auftrag der Cybersecurity and Infrastructure Security Agency (CISA) verwaltet. MITRE vergibt nicht alle IDs selbst, sondern stützt sich auf ein Netzwerk von Partnern, den sogenannten CNAs (CVE Numbering Authorities).

Ein CNA kann ein Softwarehersteller, ein Sicherheitsanbieter, ein CERT oder eine auf Schwachstellen spezialisierte Organisation sein. Jeder CNA ist berechtigt, CVE-IDs für Schwachstellen zu vergeben, die in seinen eigenen Produkten oder in seinem Zuständigkeitsbereich entdeckt wurden. Dieses System beschleunigt die Meldung von Schwachstellen und sorgt gleichzeitig für eine zentrale Struktur über MITRE.

#CVE #CISA #CNA #MITRE

Der Veröffentlichungsprozess einer CVE beginnt in der Regel mit der Einreichung eines Schwachstellenberichts bei einer CNA oder direkt bei MITRE. Wenn die Schwachstelle als legitim anerkannt wird, wird eine CVE-ID reserviert. Zu diesem Zeitpunkt kann die CVE für eine gewisse Zeit als "reserviert" bleiben, während auf die technische Validierung, die Zustimmung der betroffenen Parteien oder die Verfügbarkeit eines Patches gewartet wird.

Sobald alle Informationen überprüft wurden, wird die CVE über die offizielle Website von MITRE (cve.org) und andere Plattformen wie NVD (National Vulnerability Database) oder CVE Find öffentlich gemacht. Sie enthält eine kurze technische Beschreibung der Schwachstelle, das Veröffentlichungsdatum, die betroffenen Produkte und manchmal Verweise auf Patches oder Sicherheitshinweise.

#CVE #MITRE #NVD

In der FAQ suchen

Kategorien

CVE
Cyber sécurité
Informationen
Informations

Tags

#CAPEC #CISA #CNA #CVE #CVSS #CWE #EPSS #FIRST #IoT #KEV #MITRE #NVD #RSSI #SOC #Zero-day
Die auf CVE Find präsentierten Informationen stammen aus mehreren sorgfältig ausgewählten Referenzquellen. CVE-Daten werden von der MITRE Corporation und der National Vulnerability Database (NVD) bereitgestellt. Der Katalog bekannter ausgenutzter Schwachstellen (KEV) stammt von der Cybersecurity and Infrastructure Security Agency (CISA), während EPSS-Scores von FIRST.org kommen. Darüber hinaus werden Daten zu Software-Schwachstellen (CWE) und häufigen Angriffsmustern (CAPEC) von der MITRE Corporation gepflegt, und Informationen zu Hardware- und Software-Konfigurationen (CPE) werden von der NVD bereitgestellt.