Definition Common Vulnerabilities and Exposures (CVE)

Was ist CVE?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Die Common Vulnerabilities and Exposures (CVE) sind eine standardisierte Liste von IT-Schwachstellen und Sicherheitslücken.
Die Common Vulnerabilities and Exposures (CVE) sind eine standardisierte Liste von IT-Schwachstellen und Sicherheitslücken. (Bild: Mitre)

Bei den Common Vulnerabilities and Exposures (CVE) handelt es sich um eine standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen. Dank der eindeutigen Benennung wird der Datenaustausch über Schwachstellen und Sicherheitsrisiken vereinfacht. Laufende Nummern identifizieren die verschiedenen Einträge eindeutig.

Die Abkürzung CVE steht für Common Vulnerabilities and Exposures. Es handelt sich um einen Standard, der Schwachstellen und Sicherheitsrisiken von Computersystemen eindeutig benennt und in einem allgemein zugänglichen Verzeichnis auflistet. Ziel ist es, den Datenaustausch über Schwachstellen beispielsweise zwischen verschiedenen Herstellern zu vereinfachen und eine eindeutige Identifikation zu ermöglichen. IPS- oder IDS-Systeme können das CVE-Verzeichnis in ihrem Vulnerability-Management verwenden.

Grundsätzlich unterscheidet das Verzeichnis zwischen Sicherheitslücken, Schwachstellen und Exposures. Während Sicherheitslücken durch einen Fehler im Code verursacht werden und direkten Zugriff auf ein System ermöglichen, gestattet ein Exposure indirekten Zugang und beispielsweise das Kopieren von Kundendaten oder das unbefugte Erlangen weiterer Rechte. Die CVEs pflegt das sogenannte CVE Editorial Board. Mitglieder sind Vertreter von Sicherheitsorganisationen, akademische Institutionen, Hersteller und Sicherheitsexperten. Moderator im Editorial Board ist die gemeinnützige MITRE Corporation, die von der US-amerikanischen Regierung unterstützt wird. Die MITRE verwaltet auch die Website. Seit 1999 werden CVE-Nummern vergeben.

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

31.08.18 - Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Ziele der Common Vulnerabilities and Exposures

Hauptziel der Common Vulnerabilities and Exposures ist es, bekannte Schwachstellen oder Expositionen eindeutig zu benennen, um Administratoren oder Herstellern einen schnellen Zugriff auf Informationen über Bedrohungen zu ermöglichen. Dank der eindeutigen Nummern kann auf weitere CVE-kompatible Informationsquellen schnell zugegriffen werden. Common Vulnerabilities and Exposures erleichtern die Suche in anderen Datenbanken und gestatten einen Austausch von Daten zwischen Herstellern mit ihren verschiedenen Sicherheitstools.

Die Syntax der CVEs

CVE-Namen, auch CVE-IDs oder nur CVEs genannt, sind nach einer genau definierten Syntax aufgebaut. Jeder Name enthält die folgenden Angaben:

  • eine eindeutige Identifikationsnummer beispielsweise CVE-1999-0050
  • den Status "Entry" oder "Candidate"
  • eine kurze Beschreibung der Sicherheitslücke oder des Exposures
  • passende Referenzen

Die Fortlaufenden Identifikationsnummern waren zu Beginn vierstellig mit führenden Nullen. Mittlerweile erlaubt das Format beliebig viele Stellen (mindestens jedoch vier).

Die verschiedenen Stati der CVE

CVEs unterscheiden die zwei Stati "Entry" und "Candidate" (Eintrag oder Kandidat). Der Entry-Status sagt aus, dass die ID von der Common Vulnerabilities and Exposures Liste akzeptiert ist. Ein Eintrag mit dem Status Candidate steht unter Beobachtung und ist noch nicht offiziell in die Liste aufgenommen. Es wird noch geprüft, ob eine Aufnahme in die Liste erfolgt.

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

10.10.18 - Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Bedeutung der CVE-Kompatibilität

Datenbanken, Security-Tools oder Webseiten können CVE-kompatibel sein. Die Kompatibilität sagt aus, dass CVE-IDs korrekt und gemäß der Syntax verwendet werden, um sie mit anderen Informationen zu verknüpfen. So ist sichergestellt, dass sich die kompatiblen Services und Anwendungen untereinander austauschen können. Die vier Mindestanforderungen für die Kompatibilität sind:

  • Schwachstellen und zugehörige Informationen sind unter der CVE-ID auffindbar,
  • die angebotenen Informationen verwenden CVE-Namen,
  • die Dokumentation enthält Beschreibungen zur Kompatibilität und Informationen, wie die bereitgestellten Informationen für andere Dienste oder Produkte nutzbar sind,
  • der Eigentümer eines Repositories hat eine exakte Zuordnung zu spezifischen CVE-Versionen sichergestellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Sicherheits-Audits mit DevAudit

Tool-Tipp: DevAudit

Sicherheits-Audits mit DevAudit

DevAudit ist ein plattformübergreifendes Open-Source-Tool für Sicherheits-Audits, das gerade in gemischten Umgebungen helfen soll, die IT-Security zu kontrollieren. Vor allem in Umgebungen, in denen auf DevOps und DevSecOps gesetzt wird, bietet das Tool einige Vorteile. In diesem Tool-Tipp zeigen wir, wie DevAudit unter Windows, Linux und Docker funktioniert. lesen

Microsoft schließt 99 Sicherheitslücken

Microsoft Patchday Februar 2020

Microsoft schließt 99 Sicherheitslücken

Am Patchday im Februar 2020 hat Microsoft Sicherheitslücken für Windows 10 Version 1903 und 1909 geschlossen. Die aktuellen Updates werden von Microsoft dringend empfohlen, da vor allem sicherheitsrelevante Anpassungen vorgenommen werden. lesen

Im Gespräch mit einem Zukunftsforscher

Security-Insider Podcast – Folge 9

Im Gespräch mit einem Zukunftsforscher

Wie jedes Jahr beschäftigen uns in der Redaktion auch im Januar 2020 zahlreiche Prognosen zur IT-Sicherheit, Cyberkriminalität und zu möglichen Risiken neuer Technologien. Was kann man eigentlich auf die Prognosen von Herstellern geben? Darüber diskutieren wir dieses Mal im Security-Insider Podcast. Als Experte mit dabei ist Zukunftsforscher Kai Gondlach. lesen

„Shitrix“ gefährdet Citrix ADC und NetScaler Gateways

Sicherheitslücke CVE 2019-19781

„Shitrix“ gefährdet Citrix ADC und NetScaler Gateways

Eine Sicherheitslücke im Citrix Application Delivery Controller (ADC) und NetScaler Gateway, mit dem Codenamen „Shitrix“, ermöglicht das Ausführen von beliebigen Anwendungen aus der Ferne und ist damit als hoch kritisch einzustufen. Jetzt ist ein Exploit Proof-of-Concept veröffentlicht worden und betroffene Unternehmen müssen umgehend handeln! lesen

Letzter Patchday für Windows 7 und Windows Server 2008/2008 R2

Microsoft Patchday Januar 2020

Letzter Patchday für Windows 7 und Windows Server 2008/2008 R2

Mit dem ersten Patchday des neuen Jahres stellt Microsoft am 14.01.2020 nicht nur Updates für Windows 10 zur Verfügung, sondern gleichzeitig auch die letzten Updates für Windows 7 und Windows Server 2008/2008 R2. Admins sollten jetzt umgehend Schritte einleiten um die Systeme zu ersetzen. lesen

Forscher stehlen AES-Keys aus Intel SGX

Plundervolt und V0LTpwn attackieren CPUs per Software

Forscher stehlen AES-Keys aus Intel SGX

Unabhängig voneinander haben zwei Forscherteams jetzt erstmals per Software die Integrität von x86-CPUs zerstört – und damit nicht nur geschützte Speicherbereiche angegriffen, sondern auch AES-Passwörter geknackt. Die beiden Angriffsvarianten auf die selbe Schwachstelle heißen Plundervolt und V0LTpwn. lesen

Patchday beseitigt 36 CVE-Schwachstellen

Microsoft Patchday Dezember 2019

Patchday beseitigt 36 CVE-Schwachstellen

Zum letzten Patchday des Jahres stellt Microsoft im Dezember 2019 verschiedene Updates für Windows-Betriebssysteme zur Verfügung, die insgesamt 36 CVEs betreffen, darunter 7 kritische und 28 wichtige Sicherheitslücken. lesen

Anfällige Copy-Funktion von Docker

Unit 42 warnt vor Root-Betrieb von Containern

Anfällige Copy-Funktion von Docker

Um Container-Nutzern zu zeigen, wie sie einer im Juli durch Docker offengelegte Schwachstelle begegnen können, hat Palo Alto Networks die Erkenntnisse eines Proof of Concepts veröffentlicht. Die Ergebnisse stammen von Unit 42, dem Threat Intelligence Team des Sicherheitsanbieters. lesen

Smartphonelücke und rechtgierige Apps

Google warnt vor Xiaomi und liefert selbst Grund zur Sorge

Smartphonelücke und rechtgierige Apps

Das entbehrte nicht gewisser Ironie: Kurz nachdem Google Android-Nutzer offenbar vor einer besonders datenhungrigen App des chinesischen Smartphone-Herstellers Xiaomi warnte, ist der Internetriese selbst ins öffentliche Fadenkreuz geraten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45579222 / Definitionen)