Wprowadzenie
<strong>CVE (Common Vulnerabilities and Exposures)</strong> to globalny, publiczny system identyfikacji i katalogowania luk bezpieczeństwa w oprogramowaniu, sprzęcie i systemach. Każdy wpis CVE otrzymuje unikalny identyfikator w formacie <strong>CVE-YYYY-NNNNN</strong> (np. CVE-2024-12345).
Jak działa system CVE?
- Zarządzany przez organizację <strong>MITRE</strong> we współpracy z CNAs (CVE Numbering Authorities)
- Każda duża firma (Microsoft, Google, Apple, Red Hat, Oracle itp.) może być CNA
- Po odkryciu luki zostaje jej przypisany unikalny numer CVE
- Informacje są publicznie dostępne w bazie <strong>NVD (National Vulnerability Database)</strong>
CVSS – System oceny ciężkości
Każdej luce CVE przypisywany jest wynik CVSS (Common Vulnerability Scoring System) w skali 0.0–10.0:
- <strong>Critical</strong> – 9.0–10.0
- <strong>High</strong> – 7.0–8.9
- <strong>Medium</strong> – 4.0–6.9
- <strong>Low</strong> – 0.1–3.9
Znaczenie w cyberbezpieczeństwie
- Podstawa automatyzacji bezpieczeństwa (scanning, patch management)
- Standard komunikacji między zespołami bezpieczeństwa, dostawcami i regulatorami
- Podstawa regulacji (np. NIS2, SEC Cybersecurity Rules)
- Kluczowy element w procesie Vulnerability Management
Przykłady znanych CVE
- CVE-2024-3094 – backdoor w bibliotece xz-utils
- CVE-2021-44228 – Log4Shell
- CVE-2017-0144 – EternalBlue (użyty w WannaCry)
Powiązane pojęcia
Dodano: 16 maja 2026