FAQ

FAQ : #NVD

Nein, die Existenz einer CVE garantiert nicht, dass ein Patch verfügbar ist. Eine CVE kann veröffentlicht werden, bevor ein Hersteller einen Patch entwickelt hat, oder sogar in Fällen, in denen kein Patch geplant ist (z. B. für veraltete oder nicht mehr gewartete Software). In diesen Situationen müssen Benutzer Workarounds implementieren oder bestimmte anfällige Funktionen deaktivieren.

Es ist daher wichtig, nicht nur die CVEs zu konsultieren, sondern auch die Empfehlungen der Hersteller und Datenbanken wie die NVD oder die KEV-Datenbank zu prüfen, die angeben können, ob ein Patch existiert und in welchen Zeiträumen er erwartet wird. Ein gutes Risikomanagement berücksichtigt sowohl die Schwere des Fehlers als auch die Verfügbarkeit von Lösungen.

#CVE #NVD #KEV

Der CVSS-Score wird in der Regel von der Organisation festgelegt, die die Schwachstelle veröffentlicht, häufig eine CNA (CVE Numbering Authority) oder der Hersteller der betroffenen Software. Ergänzend dazu berechnen oder passen Einrichtungen wie die NVD (National Vulnerability Database) die Scores manchmal neu an, um eine Kohärenz zwischen den veröffentlichten CVEs zu gewährleisten.

Automatisierte Tools ermöglichen es auch unabhängigen Forschern, SOC-Analysten oder Sicherheitsanbietern, einen Score auf der Grundlage des veröffentlichten CVSS-Vektors neu zu berechnen. Dies bedeutet, dass eine einzelne CVE je nach Kontext und Bewerter mehrere leicht unterschiedliche Scores haben kann, was dazu führt, dass für kritische Entscheidungen verschiedene Quellen miteinander verglichen werden müssen.

#CVE #CVSS #CNA #NVD

Der Veröffentlichungsprozess einer CVE beginnt in der Regel mit der Einreichung eines Schwachstellenberichts bei einer CNA oder direkt bei MITRE. Wenn die Schwachstelle als legitim anerkannt wird, wird eine CVE-ID reserviert. Zu diesem Zeitpunkt kann die CVE für eine gewisse Zeit als "reserviert" bleiben, während auf die technische Validierung, die Zustimmung der betroffenen Parteien oder die Verfügbarkeit eines Patches gewartet wird.

Sobald alle Informationen überprüft wurden, wird die CVE über die offizielle Website von MITRE (cve.org) und andere Plattformen wie NVD (National Vulnerability Database) oder CVE Find öffentlich gemacht. Sie enthält eine kurze technische Beschreibung der Schwachstelle, das Veröffentlichungsdatum, die betroffenen Produkte und manchmal Verweise auf Patches oder Sicherheitshinweise.

#CVE #MITRE #NVD

In der FAQ suchen

Kategorien

CVE
Cyber sécurité
Informationen
Informations

Tags

#CAPEC #CISA #CNA #CVE #CVSS #CWE #EPSS #FIRST #IoT #KEV #MITRE #NVD #RSSI #SOC #Zero-day
Die auf CVE Find präsentierten Informationen stammen aus mehreren sorgfältig ausgewählten Referenzquellen. CVE-Daten werden von der MITRE Corporation und der National Vulnerability Database (NVD) bereitgestellt. Der Katalog bekannter ausgenutzter Schwachstellen (KEV) stammt von der Cybersecurity and Infrastructure Security Agency (CISA), während EPSS-Scores von FIRST.org kommen. Darüber hinaus werden Daten zu Software-Schwachstellen (CWE) und häufigen Angriffsmustern (CAPEC) von der MITRE Corporation gepflegt, und Informationen zu Hardware- und Software-Konfigurationen (CPE) werden von der NVD bereitgestellt.