CVE

Der Katalog der Common Vulnerabilities and Exposures (CVE) wird von der United States Department of Homeland Security (DHS) gesponsert. Die Bedrohungen sind in zwei Kategorien unterteilt: Schwachstellen und Expositionen. Laut der CVE-Website ist eine Sicherheitslücke ein Fehler im Software-Code, der einem Angreifer direkten Zugriff auf ein System oder Netzwerk gewährt. Beispielsweise könnte eine Sicherheitslücke es einem Angreifer ermöglichen, sich als Administrator mit allen Zugriffsberechtigungen einzuloggen.

Eine Exposition wird dagegen so beschrieben, dass ein Fehler in der Software oder Konfiguration einem Angreifer indirekten Zugriff auf das Netzwerk oder System gewährt. In so einem Fall wäre es einem Angreifer beispielsweise möglich Kundendaten abzugreifen, die verkauft werden können.

Der Hauptzweck des Kataloges ist es, die Art und Weise zu kennzeichnen, wie jede bekannte Schwachstelle oder Exposition identifiziert wird. Über die Standard-IDs ist es Administratoren möglich schnell auf Informationen über bestimmte Bedrohung per CVE-kompatiblen Informationsquellen zuzugreifen.

CVE wird vom US-CERT gesponsert. Die gemeinnützige Organisation MITRE, die von der US-Regierung unterstützt wird, verwaltet den CVE-Katalog und die Website. Dort wird auch in Zusammenarbeit mit den CVE Numbering Authorities das CVE-Kompatibilitätsprogramm verwaltet, das sich um die Verwendung der Standard-CVE-Kennungen kümmert. Zu den CVE Numbering Authorities gehören beispielsweise Hersteller von Sicherheitssoftware und Sicherheitsexperten.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!