CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) Nedir?
CVE, Ortak Güvenlik Açıkları ve Etkilenmeler anlamına gelir. Kamuya zaten bilinen siber güvenlik açıklarını takip eden bir sistemdir.
Her CVE kaydının, CVE-2024-492881 gibi kendi kimliği vardır ve saldırganların sistemi istismar etmek için kullanabileceği yazılım, donanım veya ürün yazılımındaki belirli bir zayıflığı açıklar.
CVE Programı, siber güvenlik ve teknolojiye odaklanan, ABD tarafından finanse edilen kar amacı gütmeyen bir kuruluş olan MITRE Corporation tarafından başlatıldı. Bugün, MITRE, güvenlik uzmanları, satıcılar ve küresel paydaşları içeren bir grup olan CVE Kurulu’nun gözetiminde CVE sistemini yönetmeye devam etmektedir. Dünya çapındaki kuruluşlar, satıcılar, güvenlik araçları ve araştırmacılar, güvenlik açıklarını izlemek ve yamaları yönetmek için CVE’yi kullanmaktadır.
Siber Güvenlikte CVE’nin Önemi
CVE öncesinde, araştırmacılar ve kuruluşlar, farklı araçlar ve raporlar arasında güvenlik açıklarını izlemeyi zorlaştıran ayrı adlandırma şemalarına güveniyorlardı.
CVE, bu sorunu şu şekilde çözmeye yardımcı olur:
- Her güvenlik açığı için tutarlı tanımlayıcılar
- Küresel güvenlik veritabanına merkezi görünürlük
- Siber güvenlikle ilgilenen satıcılar, araştırmacılar ve kuruluşlar arasında daha kolay işbirliği.
CVE, güvenlik tarayıcıları, SCA, ASPM ve CVE kimliklerine dayanan riskleri tespit etmek ve önceliklendirmek için kullanılan yama yönetim sistemleri gibi güvenlik araçlarının temelini oluşturur.
CVE Nasıl Çalışır?
Her CVE kaydı, zafiyet veritabanında aşağıdaki bilgileri içerir:
- Bir CVE Kimliği - bir zafiyet için benzersiz bir tanımlayıcı
- Bir Açıklama - zafiyetin açıklaması
- Referanslar - zafiyet hakkında ayrıntılı bilgi sağlayan güvenilir dış kaynaklar
- Bir CVSS Skoru - ciddiyet derecelendirmesi, bir zafiyetin istismar edilmesi durumunda ne kadar ciddi veya etkili olduğunu belirten bir derecelendirme.
Tüm CVE’ler cve.org adresinde herkese açık olarak saklanır ve ayrıca NIST (Ulusal Standartlar ve Teknoloji Enstitüsü) tarafından sürdürülen Ulusal Zafiyet Veritabanı (NVD)‘de de yansıtılır. NIST, Amerika Birleşik Devletleri Ticaret Bakanlığı’nın düzenleyici olmayan bir ajansıdır.
Bilinen ve Bilinmeyen Zafiyetler
Bilinen Zafiyetler
Güvenlik organizasyonları ve araştırmacılarının farkında olduğu ve zafiyetleri gidermek için yamalar sağlayabildiği zafiyetler.
Bilinen zafiyetler genellikle CVE veya NVD gibi veritabanlarında zaten yayımlanmıştır.
Örnek:
CVE-2017-5638 — Equifax ihlali (2017)‘nde istismar edilen Apache Struts zafiyeti.
Bilinmeyen (Sıfır Gün) Zafiyetler
Bunlar henüz keşfedilmemiş veya açıklanmamış kusurlardır; yazılımda mevcuttur ancak henüz CVE veritabanlarında belgelenmemiştir.
Saldırganlar, satıcı bir yama yayınlamadan önce bunları istismar edebilir. Bu, çok tehlikeli bir kusurdur.
Örnek:
Google veya Microsoft bir düzeltme yayınlamadan önce saldırganlar tarafından kullanılan bir tarayıcı zafiyeti.
İlgili Terimler
- NVD (Ulusal Zafiyet Veritabanı)
- CVSS (Ortak Zafiyet Puanlama Sistemi)
- Sıfır Gün Zafiyeti
- İstismar
- Yama Yönetimi
- Zafiyet Yönetimi
- Ortak Zayıflık Sıralaması (CWE)
SSS: CVE
CVE Kimliği nedir?
CVE Kimliği, kamuya açıklanmış bir zafiyete atanan benzersiz bir tanımlayıcıdır (örneğin, CVE-2025-01234).
CVE sistemini kim yönetir?
CVE Programı, MITRE Corporation tarafından yönetilir, CVE Kurulu’nun gözetiminde ve ABD hükümet ajansları, örneğin İç Güvenlik Bakanlığı (DHS) ve CISA tarafından finanse edilir.
Tüm zafiyetler CVE’de listeleniyor mu?
Hayır. Sadece kamuya bilinen zafiyetler CVE Kimlikleri alır. Bilinmeyen zafiyetler veya Sıfır Gün zafiyetleri henüz kaydedilmemiştir.
CVE ve CVSS nasıl ilişkilidir?
CVE zafiyeti tanımlar; CVSS (Ortak Zafiyet Puanlama Sistemi) ise onun ciddiyetini ölçer.