Co je CVE (Common Vulnerabilities and Exposures)?
CVE znamená Common Vulnerabilities and Exposures. Je to systém, který sleduje kybernetické zranitelnosti, které jsou již veřejně známé.
Každý záznam CVE má své vlastní ID, jako například CVE-2024-492881, a vysvětluje konkrétní slabinu v softwaru, hardwaru nebo firmwaru, kterou by útočníci mohli využít k napadení systému.
Program CVE byl spuštěn MITRE Corporation, americkou federálně financovanou neziskovou organizací zaměřenou na kybernetickou bezpečnost a technologie. Dnes MITRE nadále spravuje systém CVE pod dohledem CVE Boardu—skupiny, která zahrnuje bezpečnostní experty, dodavatele a globální zainteresované strany. Organizace, dodavatelé, bezpečnostní nástroje a výzkumníci po celém světě používají CVE ke sledování zranitelností a správě oprav.
Proč je CVE důležité v kybernetické bezpečnosti
Před CVE se výzkumníci a organizace spoléhali na oddělené pojmenovací schémata, což ztěžovalo sledování zranitelností napříč různými nástroji a zprávami.
CVE pomáhá tento problém řešit nabídkou:
- Konzistentních identifikátorů pro každou zranitelnost
- Centralizované viditelnosti do globální bezpečnostní databáze
- Snazší spolupráce mezi dodavateli, výzkumníky a organizacemi zapojenými do kybernetické bezpečnosti.
CVE tvoří základ pro bezpečnostní nástroje jako jsou skenery zranitelností, SCA, ASPM a systémy správy oprav, které se spoléhají na CVE ID k detekci a prioritizaci rizik.
Jak funguje CVE?
Každý záznam CVE v databázi zranitelností obsahuje
- ID CVE - jedinečný identifikátor pro zranitelnost
- Popis - vysvětlení zranitelnosti
- Reference - důvěryhodné externí zdroje, které poskytují podrobné informace o zranitelnosti
- Skóre CVSS - hodnocení závažnosti, které vám říká, jak vážná nebo jaký dopad má zranitelnost, pokud je zneužita.
Všechny CVE jsou veřejně uloženy na cve.org, a také zrcadleny v National Vulnerability Database (NVD), kterou spravuje NIST (National Institute of Standards and Technology), což je neregulační agentura Ministerstva obchodu Spojených států.
Známé vs. Neznámé zranitelnosti
Známé zranitelnosti
Zranitelnosti, o kterých bezpečnostní organizace a výzkumníci vědí a mohou poskytnout opravy k řešení těchto zranitelností.
Známé zranitelnosti jsou často již publikovány v databázích jako CVE nebo NVD.
Příklad:
CVE-2017-5638 — zranitelnost Apache Struts zneužitá při úniku dat Equifax (2017).
Neznámé (Zero-Day) zranitelnosti
Jedná se o neobjevené nebo neodhalené chyby; existují v softwaru, ale ještě nejsou zdokumentovány v databázích CVE.
Útočníci je mohou zneužít předtím, než výrobce vydá opravu. Tato chyba je velmi nebezpečná.
Příklad:
Zranitelnost prohlížeče je použita útočníky předtím, než Google nebo Microsoft vydají opravu.
Související pojmy
- NVD (Národní databáze zranitelností)
- CVSS (Společný systém hodnocení zranitelností)
- Zranitelnost Zero-Day
- Exploit
- Správa záplat
- Správa zranitelností
- Společný seznam slabin (CWE)
FAQ: CVE
Co je CVE ID?
CVE ID je jedinečný identifikátor přiřazený veřejně zveřejněné zranitelnosti (např. CVE-2025-01234).
Kdo spravuje systém CVE?
Program CVE je spravován společností MITRE Corporation, pod dohledem CVE Board a financován agenturami vlády USA, jako je Ministerstvo vnitřní bezpečnosti (DHS) a CISA.
Jsou všechny zranitelnosti uvedeny v CVE?
Ne. Pouze veřejně známé zranitelnosti dostávají CVE ID. Neznámé zranitelnosti nebo zranitelnosti Zero-day nejsou dosud registrovány.
Jak spolu souvisí CVE a CVSS?
CVE identifikuje zranitelnost; CVSS (Společný systém hodnocení zranitelností) měří její závažnost.