Common Vulnerabilities and Exposures

Angol

Főnév

Common Vulnerabilities and Exposures (tsz. Common Vulnerabilities and Exposureses)

1. (informatika) A CVE (Common Vulnerabilities and Exposures), magyarul „Közös sebezhetőségek és kitettségek”, egy nyilvános adatbázis és szabvány, amelyet arra hoztak létre, hogy az informatikai rendszerekben fellelhető biztonsági hibákat egységes módon azonosítani, rendszerezni és nyomon követni lehessen. Az alábbiakban egy részletes, körülbelül 1000 szavas ismertetőt olvashatsz róla magyar nyelven:

---

Mi az a CVE?

A CVE egy azonosító rendszer, amely minden ismert biztonsági rést egy egyedi azonosítóval lát el. Például: CVE-2023-12345. Ez az azonosító egy szabványosított módon hivatkozik egy konkrét hibára, függetlenül attól, hogy melyik cég, termék vagy szoftver érintett. A cél az, hogy mindenki – legyen az fejlesztő, rendszergazda vagy biztonsági kutató – ugyanarról a hibáról ugyanazon azonosító alatt beszélhessen.

Miért fontos a CVE?

A digitális világban nap mint nap fedeznek fel új sebezhetőségeket. Ha mindenki máshogy hivatkozna ugyanarra a problémára, az zűrzavart és lassú reagálást okozna. A CVE rendszer lehetővé teszi az: - egységes hivatkozást biztonsági hibákra, - gyors reagálást, mivel a sérülékenységek gyorsan felismerhetők és javíthatók, - összehasonlítást különböző védelmi eszközök és szoftverek között (pl. tűzfalak, antivírusok, patch management rendszerek), - automatikus feldolgozást különböző rendszerek által (pl. ha egy szkenner talál egy CVE-azonosítót, tudja, mit jelent, és mit kell tenni).

A CVE rendszere

A CVE-projektet az MITRE Corporation hozta létre 1999-ben az amerikai kormány megbízásából, és a mai napig ez a szervezet tartja karban. Emellett együttműködik az úgynevezett CNA-kal (CVE Numbering Authorities) – ezek olyan megbízható szervezetek (pl. nagy szoftvercégek, mint a Microsoft, Red Hat, Cisco stb.), amelyek jogosultak új CVE-k kibocsátására.

Egy CVE bejegyzés általában tartalmaz:

• egy CVE azonosítót (pl. CVE-2024-1234),
• egy leírást a hibáról,
• információt az érintett szoftverekről vagy rendszerekről,
• hivatkozásokat más forrásokra (pl. gyártói figyelmeztetés, javítási javaslat),
• esetenként a súlyossági besorolást (pl. CVSS pontszám).

Példa egy CVE-re

Vegyünk például egy valódi CVE-t:

• CVE-2021-44228 – más néven a „Log4Shell”.
• Ez a sebezhetőség a népszerű Java-alapú Apache Log4j naplózó könyvtárban található, és távoli kódfuttatást tett lehetővé.
• Komoly globális fenyegetést jelentett 2021 végén, mivel számos nagyvállalati rendszer használta a Log4j-t.
• A CVSS pontszáma: 10.0 (maximális súlyosságú).

Mi az a CVSS?

A CVSS (Common Vulnerability Scoring System) egy pontozási rendszer, amely 0-tól 10-ig terjedő skálán osztályozza a sebezhetőség súlyosságát. Minél magasabb a szám, annál súlyosabb a hiba: - 0.1–3.9: Alacsony - 4.0–6.9: Közepes - 7.0–8.9: Magas - 9.0–10.0: Kritikus

Ez segít a szervezeteknek abban, hogy priorizálják a javításokat és intézkedéseket.

Hogyan keletkezik egy CVE?

1. Felfedezés: Egy biztonsági kutató, hacker vagy akár egy fejlesztő észrevesz egy sebezhetőséget.
2. Bejelentés: A felfedező bejelenti azt egy CNA-nak vagy közvetlenül a MITRE-nek.
3. Ellenőrzés: Az illetékes szervezet ellenőrzi, hogy ez valóban egyedi, új sebezhetőség-e.
4. Kibocsátás: Ha igen, akkor kiadják a hivatalos CVE-azonosítót.
5. Publikálás: A hibát részletező információkat nyilvánosan közzéteszik – általában a gyártóval egyeztetve.

CVE használata a gyakorlatban

• Rendszergazdák figyelik az új CVE-ket, hogy időben tudjanak frissíteni.
• Biztonsági szkennerek (pl. Nessus, OpenVAS) a CVE-azonosítók alapján jelentik a rendszerekben fellelhető sérülékenységeket.
• Fejlesztők a saját szoftverkomponenseik CVE-k listáját vizsgálják, hogy mentesek legyenek a hibáktól.
• Kibervédelmi csapatok és SOC-ok (Security Operations Center) is a CVE alapján priorizálnak eseményeket.

Hogyan lehet ellenőrizni egy CVE-t?

A következő webhelyeken lehet részletes információt keresni: - https://cve.mitre.org - https://nvd.nist.gov – az amerikai Nemzeti Sebezhetőségi Adatbázis (NVD) részletes technikai információkkal, CVSS pontszámokkal, javításokkal stb.

A CVE előnyei

• Egységesség: Mindenki ugyanúgy hivatkozhat egy hibára.
• Átláthatóság: A problémák nyilvánosak és dokumentáltak.
• Közösségi együttműködés: Különböző szervezetek együttműködve gyorsan javíthatják a problémákat.
• Védelem: Segít időben azonosítani és javítani a fenyegetéseket.

Kritika és kihívások

• A CVE kiadása néha lassú lehet, különösen, ha nem egy CNA adja ki.
• Nem minden hiba kap CVE-t, főként ha nem „elég súlyos” vagy nem teljesülnek a formai követelmények.
• Az információ néha hiányos vagy elavult lehet, főleg kevésbé karbantartott szoftverek esetén.

---

Összefoglalás

A CVE tehát egy kulcsfontosságú eszköz a kibervédelem világában. Segít egységesen azonosítani a biztonsági hibákat, nyomon követni őket, és gyors reagálást biztosít az érintettek számára. Akár rendszerüzemeltető vagy, akár fejlesztő, akár egyszerű felhasználó, ha biztonsággal szeretnél foglalkozni, érdemes tisztában lenni a CVE rendszer működésével.

• CVE-2015-1538: Az Android operációs rendszer libstagefright könyvtárában található egy egész szám túlcsordulási hiba, amely lehetővé teszi távoli támadók számára tetszőleges kód végrehajtását speciálisan kialakított MP4 fájlokon keresztül. citeturn0search0
• CVE-2018-0171: A Cisco IOS és IOS XE szoftverek Smart Install funkciójában található egy hiba, amely lehetővé teszi egy nem hitelesített, távoli támadó számára, hogy újraindítsa az érintett eszközt, vagy tetszőleges kódot hajtson végre rajta. citeturn0search1
• CVE-2019-0708: A Remote Desktop Services szolgáltatásban található egy távoli kódfuttatási sérülékenység, amely lehetővé teszi egy nem hitelesített támadó számára, hogy speciálisan kialakított RDP kérésekkel kihasználja a hibát. citeturn0search2
• CVE-2019-12643: A Cisco IOS XE szoftver REST API virtuális szolgáltatáskonténerében található egy hiba, amely lehetővé teszi egy nem hitelesített, távoli támadó számára az autentikáció megkerülését a kezelt eszközön. citeturn0search3
• CVE-2019-2107: Az Android operációs rendszerben egy hibás határellenőrzés miatt lehetőség van puffer túlcsordulásra, amely távoli kódfuttatáshoz vezethet speciálisan kialakított videófájlokkal. citeturn0search4
• CVE-2020-0022: Az Android Bluetooth komponensében található egy hiba, amely lehetővé teszi egy támadó számára, hogy a Bluetooth hatókörén belül tetszőleges kódot hajtson végre az eszközön. citeturn0search20
• CVE-2020-0096: Az Android egyik komponensében található egy jogosultságkiterjesztési hiba, amely lehetővé teszi egy helyi támadó számára, hogy magasabb szintű jogosultságokat szerezzen az eszközön. citeturn0search6
• CVE-2020-0605: A .NET szoftverben található egy távoli kódfuttatási sérülékenység, amely lehetővé teszi egy támadó számára, hogy tetszőleges kódot futtasson a jelenlegi felhasználó kontextusában. citeturn0search7
• CVE-2020-1472: A Netlogon Remote Protocol (MS-NRPC) protokollban található egy jogosultságkiterjesztési hiba, amely lehetővé teszi egy támadó számára, hogy kapcsolatot létesítsen egy domain controllerrel, és végül domain adminisztrátori jogosultságokat szerezzen. citeturn0search23
• CVE-2020-27930: Az Apple operációs rendszereiben található egy memória-kezelési hiba, amely lehetővé teszi egy alkalmazás számára, hogy tetszőleges kódot hajtson végre kernel szintű jogosultságokkal. citeturn0search39
• CVE-2021-26855: A Microsoft Exchange Serverben található egy távoli kódfuttatási sérülékenység, amely lehetővé teszi egy nem hitelesített támadó számára, hogy tetszőleges HTTP kéréseket küldjön és az Exchange Serverként hitelesítse magát. citeturn0search10
• CVE-2021-30657: A macOS operációs rendszerben található egy logikai hiba, amely lehetővé teszi egy rosszindulatú alkalmazás számára, hogy megkerülje a Gatekeeper ellenőrzéseit. citeturn0search41
• CVE-2021-30807: Az Apple operációs rendszereiben található egy memória-kezelési hiba az IOMobileFrameBuffer komponensben, amely lehetővé teszi egy alkalmazás számára, hogy tetszőleges kódot hajtson végre kernel szintű jogosultságokkal. citeturn0search42
• CVE-2021-30869: Az Apple operációs rendszereiben található egy típuskeveredési hiba az XNU kernelben, amely lehetővé teszi egy rosszindulatú alkalmazás számára, hogy tetszőleges kódot hajtson végre kernel szintű jogosultságokkal. citeturn0search43
• CVE-2021-30883: Az Apple operációs rendszereiben található egy memória-kezelési hiba, amely lehetővé teszi egy alkalmazás számára, hogy tetszőleges kódot hajtson végre kernel szintű jogosultságokkal. citeturn0search14
• CVE-2021-34527: A Windows Print Spooler szolgáltatásban található egy távoli kódfuttatási sérülékenység, amely lehetővé teszi egy támadó számára, hogy tetszőleges kódot futtasson

További információk

• Common Vulnerabilities and Exposures - Szótár.net (en-hu)
• Common Vulnerabilities and Exposures - Sztaki (en-hu)
• Common Vulnerabilities and Exposures - Merriam–Webster
• Common Vulnerabilities and Exposures - Cambridge
• Common Vulnerabilities and Exposures - WordNet
• Common Vulnerabilities and Exposures - Яндекс (en-ru)
• Common Vulnerabilities and Exposures - Google (en-hu)
• Common Vulnerabilities and Exposures - Wikidata
• Common Vulnerabilities and Exposures - Wikipédia (angol)