Cve

CVE (Common Vulnerabilities and Exposures)

Wprowadzenie

<strong>CVE (Common Vulnerabilities and Exposures)</strong> to globalny, publiczny system identyfikacji i katalogowania luk bezpieczeństwa w oprogramowaniu, sprzęcie i systemach. Każdy wpis CVE otrzymuje unikalny identyfikator w formacie <strong>CVE-YYYY-NNNNN</strong> (np. CVE-2024-12345).

Jak działa system CVE?

  • Zarządzany przez organizację <strong>MITRE</strong> we współpracy z CNAs (CVE Numbering Authorities)
  • Każda duża firma (Microsoft, Google, Apple, Red Hat, Oracle itp.) może być CNA
  • Po odkryciu luki zostaje jej przypisany unikalny numer CVE
  • Informacje są publicznie dostępne w bazie <strong>NVD (National Vulnerability Database)</strong>

CVSS – System oceny ciężkości

Każdej luce CVE przypisywany jest wynik CVSS (Common Vulnerability Scoring System) w skali 0.0–10.0:

  • <strong>Critical</strong> – 9.0–10.0
  • <strong>High</strong> – 7.0–8.9
  • <strong>Medium</strong> – 4.0–6.9
  • <strong>Low</strong> – 0.1–3.9

Znaczenie w cyberbezpieczeństwie

  • Podstawa automatyzacji bezpieczeństwa (scanning, patch management)
  • Standard komunikacji między zespołami bezpieczeństwa, dostawcami i regulatorami
  • Podstawa regulacji (np. NIS2, SEC Cybersecurity Rules)
  • Kluczowy element w procesie Vulnerability Management

Przykłady znanych CVE

  • CVE-2024-3094 – backdoor w bibliotece xz-utils
  • CVE-2021-44228 – Log4Shell
  • CVE-2017-0144 – EternalBlue (użyty w WannaCry)

Powiązane pojęcia

Dodano: 16 maja 2026