Definition Common Vulnerabilities and Exposures (CVE)

Was ist CVE?

| Autor / Redakteur: Tutanch / Peter Schmitz

Die Common Vulnerabilities and Exposures (CVE) sind eine standardisierte Liste von IT-Schwachstellen und Sicherheitslücken.
Die Common Vulnerabilities and Exposures (CVE) sind eine standardisierte Liste von IT-Schwachstellen und Sicherheitslücken. (Bild: Mitre)

Bei den Common Vulnerabilities and Exposures (CVE) handelt es sich um eine standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen. Dank der eindeutigen Benennung wird der Datenaustausch über Schwachstellen und Sicherheitsrisiken vereinfacht. Laufende Nummern identifizieren die verschiedenen Einträge eindeutig.

Die Abkürzung CVE steht für Common Vulnerabilities and Exposures. Es handelt sich um einen Standard, der Schwachstellen und Sicherheitsrisiken von Computersystemen eindeutig benennt und in einem allgemein zugänglichen Verzeichnis auflistet. Ziel ist es, den Datenaustausch über Schwachstellen beispielsweise zwischen verschiedenen Herstellern zu vereinfachen und eine eindeutige Identifikation zu ermöglichen. IPS- oder IDS-Systeme können das CVE-Verzeichnis in ihrem Vulnerability-Management verwenden.

Grundsätzlich unterscheidet das Verzeichnis zwischen Sicherheitslücken, Schwachstellen und Exposures. Während Sicherheitslücken durch einen Fehler im Code verursacht werden und direkten Zugriff auf ein System ermöglichen, gestattet ein Exposure indirekten Zugang und beispielsweise das Kopieren von Kundendaten oder das unbefugte Erlangen weiterer Rechte. Die CVEs pflegt das sogenannte CVE Editorial Board. Mitglieder sind Vertreter von Sicherheitsorganisationen, akademische Institutionen, Hersteller und Sicherheitsexperten. Moderator im Editorial Board ist die gemeinnützige MITRE Corporation, die von der US-amerikanischen Regierung unterstützt wird. Die MITRE verwaltet auch die Website. Seit 1999 werden CVE-Nummern vergeben.

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

31.08.18 - Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Ziele der Common Vulnerabilities and Exposures

Hauptziel der Common Vulnerabilities and Exposures ist es, bekannte Schwachstellen oder Expositionen eindeutig zu benennen, um Administratoren oder Herstellern einen schnellen Zugriff auf Informationen über Bedrohungen zu ermöglichen. Dank der eindeutigen Nummern kann auf weitere CVE-kompatible Informationsquellen schnell zugegriffen werden. Common Vulnerabilities and Exposures erleichtern die Suche in anderen Datenbanken und gestatten einen Austausch von Daten zwischen Herstellern mit ihren verschiedenen Sicherheitstools.

Die Syntax der CVEs

CVE-Namen, auch CVE-IDs oder nur CVEs genannt, sind nach einer genau definierten Syntax aufgebaut. Jeder Name enthält die folgenden Angaben:

  • eine eindeutige Identifikationsnummer beispielsweise CVE-1999-0050
  • den Status "Entry" oder "Candidate"
  • eine kurze Beschreibung der Sicherheitslücke oder des Exposures
  • passende Referenzen

Die Fortlaufenden Identifikationsnummern waren zu Beginn vierstellig mit führenden Nullen. Mittlerweile erlaubt das Format beliebig viele Stellen (mindestens jedoch vier).

Die verschiedenen Stati der CVE

CVEs unterscheiden die zwei Stati "Entry" und "Candidate" (Eintrag oder Kandidat). Der Entry-Status sagt aus, dass die ID von der Common Vulnerabilities and Exposures Liste akzeptiert ist. Ein Eintrag mit dem Status Candidate steht unter Beobachtung und ist noch nicht offiziell in die Liste aufgenommen. Es wird noch geprüft, ob eine Aufnahme in die Liste erfolgt.

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

10.10.18 - Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Bedeutung der CVE-Kompatibilität

Datenbanken, Security-Tools oder Webseiten können CVE-kompatibel sein. Die Kompatibilität sagt aus, dass CVE-IDs korrekt und gemäß der Syntax verwendet werden, um sie mit anderen Informationen zu verknüpfen. So ist sichergestellt, dass sich die kompatiblen Services und Anwendungen untereinander austauschen können. Die vier Mindestanforderungen für die Kompatibilität sind:

  • Schwachstellen und zugehörige Informationen sind unter der CVE-ID auffindbar,
  • die angebotenen Informationen verwenden CVE-Namen,
  • die Dokumentation enthält Beschreibungen zur Kompatibilität und Informationen, wie die bereitgestellten Informationen für andere Dienste oder Produkte nutzbar sind,
  • der Eigentümer eines Repositories hat eine exakte Zuordnung zu spezifischen CVE-Versionen sichergestellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Schwachstellen-Management braucht Automatisierung

Patch Management in der Praxis

Schwachstellen-Management braucht Automatisierung

Unternehmen haben mit immer mehr Schwach­stellen in Anwendungen und Betriebssystemen zu kämpfen. Wurden im Jahr 2016 noch 6447 CVE-Security-Vulnerabilities gemeldet, waren es 2017 mit 14714 mehr als doppelt so viele und 2018 wurde auch dieser Rekord bereits im November geknackt. Cyberkriminelle nutzen Sicherheitslücken zudem immer schneller und oft auch automatisiert aus. lesen

Sicherheits-Updates, Windows 10 1809 und Server 2019

Microsoft Patchday November 2018

Sicherheits-Updates, Windows 10 1809 und Server 2019

Neben Updates für die noch unterstützten Versionen von Windows 10, erscheinen am am November-Patchday auch Windows 10 Version 1809 und Windows Server 2019 erneut auf der Bildfläche. Das gilt auch für Windows Server 1809. Die kumulativen Patches für Windows 10 beheben Sicherheitslücken in Windows und dem Browser Edge. Aber auch PowerShell Core und Office werden aktualisiert. lesen

Eine Zertifizierung reicht bei der IT-Sicherheit nicht aus!

EU Cybersecurity Act

Eine Zertifizierung reicht bei der IT-Sicherheit nicht aus!

Mit dem Cybersecurity Act verlässt sich die EU auf das klassische Zusammenspiel aus Stan­dar­di­sie­rung, Zertifizierung und Markt­über­wachung, um erstmals einheitliche europäische Standards für IT-Sicherheit zu etablieren. Dabei wurde jedoch übersehen, dass IT-Sicherheit dynamisch und wechselhaft ist, wodurch Produktzertifizierung und Marktüberwachung vor neue Herausforderungen gestellt werden. lesen

Forscher finden schwere Sicherheitslücke in iOS 12

Update auf iOS 12.1 dringend empfohlen

Forscher finden schwere Sicherheitslücke in iOS 12

Ein Forschungsteam der TU Darmstadt hat eine Schwachstelle in Apples iOS gefunden, die mehr als eine halbe Milliarde Geräte betrifft. Die Forscher empfehlen Nutzern dringend, das soeben erschienene Update 12.1 zu installieren. Aufgrund der Sicherheitslücke können Angreifer iPhones und iPads mit handelsüblicher Hardware und ohne physischen Zugriff zum Absturz bringen. lesen

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Update für das gestoppte Oktober-Update 1809

Microsoft Patchday Oktober 2018

Update für das gestoppte Oktober-Update 1809

Im Oktober hat Microsoft wieder kumulative Updates veröffentlicht. Auch die neuste Variante des Betriebssystems, Windows 10 Version 1809, erhält eine Aktualisierung. Dabei wird der Fehler behoben, der für den Verteilungsstopp verantwortlich war. Verteilt werden hauptsächlich Sicherheitsupdates für Windows 10 1703, 1709, 1803 und 1809. lesen

Risikobewertung von Schwachstellen

CVSS kontra Angriffswahrscheinlichkeit

Risikobewertung von Schwachstellen

Cyberkriminalität ist zu einem Geschäftsmodell geworden, das auf maximalen Gewinn abzielt: Angreifer verwenden die gleichen Techniken mehrfach und automatisieren ihr Vorgehen, um möglichst viele Ziele erfolgreich zu erpressen. Der Fall „WannaCry“ aus dem Jahr 2017 ist das beste Beispiel hierfür. lesen

Security-Updates für Windows im September

Microsoft Patchday September 2018

Security-Updates für Windows im September

Am Patchday im September 2018 veröffentlicht Microsoft wieder eine Reihe von Updates, der größte Teil davon sind Sicherheitsupdates. Alle noch unterstützen Windows 10-Versionen erhalten kumulative Updates, genauso wie Windows 7/8.1. Auch die neuste Windows 10 Version vom April 2018 (1803) erhält ein kumulatives Update. Wir geben einen Überblick. lesen

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45579222 / Definitionen)