Definition Common Vulnerabilities and Exposures (CVE)

Was ist CVE?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Die Common Vulnerabilities and Exposures (CVE) sind eine standardisierte Liste von IT-Schwachstellen und Sicherheitslücken.
Die Common Vulnerabilities and Exposures (CVE) sind eine standardisierte Liste von IT-Schwachstellen und Sicherheitslücken. (Bild: Mitre)

Bei den Common Vulnerabilities and Exposures (CVE) handelt es sich um eine standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen. Dank der eindeutigen Benennung wird der Datenaustausch über Schwachstellen und Sicherheitsrisiken vereinfacht. Laufende Nummern identifizieren die verschiedenen Einträge eindeutig.

Die Abkürzung CVE steht für Common Vulnerabilities and Exposures. Es handelt sich um einen Standard, der Schwachstellen und Sicherheitsrisiken von Computersystemen eindeutig benennt und in einem allgemein zugänglichen Verzeichnis auflistet. Ziel ist es, den Datenaustausch über Schwachstellen beispielsweise zwischen verschiedenen Herstellern zu vereinfachen und eine eindeutige Identifikation zu ermöglichen. IPS- oder IDS-Systeme können das CVE-Verzeichnis in ihrem Vulnerability-Management verwenden.

Grundsätzlich unterscheidet das Verzeichnis zwischen Sicherheitslücken, Schwachstellen und Exposures. Während Sicherheitslücken durch einen Fehler im Code verursacht werden und direkten Zugriff auf ein System ermöglichen, gestattet ein Exposure indirekten Zugang und beispielsweise das Kopieren von Kundendaten oder das unbefugte Erlangen weiterer Rechte. Die CVEs pflegt das sogenannte CVE Editorial Board. Mitglieder sind Vertreter von Sicherheitsorganisationen, akademische Institutionen, Hersteller und Sicherheitsexperten. Moderator im Editorial Board ist die gemeinnützige MITRE Corporation, die von der US-amerikanischen Regierung unterstützt wird. Die MITRE verwaltet auch die Website. Seit 1999 werden CVE-Nummern vergeben.

CVE & Co. für Einsteiger

Common Vulnerabilities and Exposures (CVE)

CVE & Co. für Einsteiger

31.08.18 - Sicherheitslücken stellen seit Jahren eine gewaltige Bedrohung für die Sicherheit von IT-Systemen dar. Damit Sicherheitsexperten, Entwickler und Anwender weltweit gemeinsam an der Beseitigung von Sicherheitslücken arbeiten können bedarf es eines einheitlichen Schemas zur Identifikation der Schwachstellen. Das Common Vulnerabilities and Exposures (CVE) bildet dazu seit 1999 einen unverzicht­baren Industriestandard. lesen

Ziele der Common Vulnerabilities and Exposures

Hauptziel der Common Vulnerabilities and Exposures ist es, bekannte Schwachstellen oder Expositionen eindeutig zu benennen, um Administratoren oder Herstellern einen schnellen Zugriff auf Informationen über Bedrohungen zu ermöglichen. Dank der eindeutigen Nummern kann auf weitere CVE-kompatible Informationsquellen schnell zugegriffen werden. Common Vulnerabilities and Exposures erleichtern die Suche in anderen Datenbanken und gestatten einen Austausch von Daten zwischen Herstellern mit ihren verschiedenen Sicherheitstools.

Die Syntax der CVEs

CVE-Namen, auch CVE-IDs oder nur CVEs genannt, sind nach einer genau definierten Syntax aufgebaut. Jeder Name enthält die folgenden Angaben:

  • eine eindeutige Identifikationsnummer beispielsweise CVE-1999-0050
  • den Status "Entry" oder "Candidate"
  • eine kurze Beschreibung der Sicherheitslücke oder des Exposures
  • passende Referenzen

Die Fortlaufenden Identifikationsnummern waren zu Beginn vierstellig mit führenden Nullen. Mittlerweile erlaubt das Format beliebig viele Stellen (mindestens jedoch vier).

Die verschiedenen Stati der CVE

CVEs unterscheiden die zwei Stati "Entry" und "Candidate" (Eintrag oder Kandidat). Der Entry-Status sagt aus, dass die ID von der Common Vulnerabilities and Exposures Liste akzeptiert ist. Ein Eintrag mit dem Status Candidate steht unter Beobachtung und ist noch nicht offiziell in die Liste aufgenommen. Es wird noch geprüft, ob eine Aufnahme in die Liste erfolgt.

Die CVE-Auflistung bekannter Sicherheitslücken

Common Vulnerabilities and Exposures

Die CVE-Auflistung bekannter Sicherheitslücken

10.10.18 - Im Rahmen von IT-Security-Warnungen werden oft CVE-Einträge genannt, die bestimmte Lücken und Risiken in Software-Produkten adressieren. Aber was genau steckt hinter den Common Vulnerabilities and Exposures? lesen

Bedeutung der CVE-Kompatibilität

Datenbanken, Security-Tools oder Webseiten können CVE-kompatibel sein. Die Kompatibilität sagt aus, dass CVE-IDs korrekt und gemäß der Syntax verwendet werden, um sie mit anderen Informationen zu verknüpfen. So ist sichergestellt, dass sich die kompatiblen Services und Anwendungen untereinander austauschen können. Die vier Mindestanforderungen für die Kompatibilität sind:

  • Schwachstellen und zugehörige Informationen sind unter der CVE-ID auffindbar,
  • die angebotenen Informationen verwenden CVE-Namen,
  • die Dokumentation enthält Beschreibungen zur Kompatibilität und Informationen, wie die bereitgestellten Informationen für andere Dienste oder Produkte nutzbar sind,
  • der Eigentümer eines Repositories hat eine exakte Zuordnung zu spezifischen CVE-Versionen sichergestellt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

RDP ist riesiges Sicherheits­risiko für Unternehmen

RDP-Studie von Sophos

RDP ist riesiges Sicherheits­risiko für Unternehmen

Das bei vielen Admins beliebte Remote Desktop Protocol (RDP) stellt für Unternehmen ein großes Sicherheitsrisiko dar. Security-Anbieter Sophos hat seine knapp viermonatige Studie „RDP Exposed: The Threat That’s Already at your Door“ abgeschlossen und die Langzeit­ergebnisse veröffentlicht. Sie zeigt, wie Cyberkriminelle unerbittlich versuchen, Unternehmen via RDP anzugreifen. lesen

Neue Seitenkanal-Attacke trifft Intel CPUs

Hintergründe zur SWAPGS Attack

Neue Seitenkanal-Attacke trifft Intel CPUs

Forscher haben eine neue Sicherheitslücke identifiziert, die sämtliche modernen Intel Prozessoren seit der „Ivy Bridge“-Generation von 2012 betrifft. Diese Prozessoren nutzen die CPU-Funktion Speculative Execution, über die ein Seitenkanalangriff erfolgen kann. Der Angriff umgeht alle bekannten Schutzmechanismen, die nach Bekanntwerden von Spectre und Meltdown im Frühjahr 2018 implementiert wurden, melden die Forscher des rumänischen Security-Anbieters Bitdefender. lesen

Container-Sicherheit mit Anchore und Clair

Ohne Schutz sind auch Container angreifbar

Container-Sicherheit mit Anchore und Clair

Immer mehr Unternehmen setzen auf die Container-Technologie. Aus diesem Grund sind auch Lösungen notwendig, mit denen man die Sicherheit der Container und darin installierten Anwendungen sicherstellen kann. Wir zeigen wie man mit den Spezial-Tools Clair und Anchore und weiteren Schritten Container sicher machen kann. lesen

White-, Grey- und Black-Hat-Hacker unterscheiden

Ethical Hacking

White-, Grey- und Black-Hat-Hacker unterscheiden

Unter einem Hacker versteht man allgemein jemanden, der mit böser Absicht in Computer­systeme eindringt. Aber ist das immer so, oder unterscheiden sich manche Hacker auch von anderen? Gibt es vielleicht sogar so etwas wie einen Hacker-Kodex? Speziell beim Umgang mit Disclosures, also der Offenlegung von Schwachstellen, gibt es große Unterschiede. lesen

5 Tipps für mehr Sicherheit in DevOps-Umgebungen

Container und Microservices absichern

5 Tipps für mehr Sicherheit in DevOps-Umgebungen

Dank ihrer Isolation gelten Container und Microservices als verhältnismäßig sicher. Doch auch diese Technologien können zu neuen Sicherheitsrisiken führen, warnt F5 Networks. Der Security-Anbieter hat deshalb fünf Tipps für mehr Sicherheit zusammengefasst. lesen

Bluetooth-Schwachstelle in allen Windows-10-Versionen

Microsoft Patchday Juni 2019

Bluetooth-Schwachstelle in allen Windows-10-Versionen

Microsoft hat zum Patchday im Juni 2019 neben Sicherheitspatches für eine Bluetooth-Schwachstelle in allen Windows-10-Versionen auch einige Updates für Windows 7/8.1 und Windows Server 2008 R2/2012/2012 R2 bereitgestellt. Diese sollen unter anderem Probleme mit Antivirus-Software beheben lesen

Wurmkur für Windows XP bis Server 2008

BSI und Infoblox warnen vor neuem WannaCry

Wurmkur für Windows XP bis Server 2008

Aus Sorge vor einer erneuten Wurmepidemie hat Microsoft die eigentlich nicht mehr gepflegten Windows-Versionen XP und Server 2003 mit einem Patch versorgt – und damit womöglich eine Neuauflage des WannaCry-Angriffes verhindert. lesen

Intel bestätigt Sicherheitslücken in CPUs

Microarchitectural Data Sampling aka ZombieLoad, RIDL und Fallout

Intel bestätigt Sicherheitslücken in CPUs

Intel bestätigt vier von Meltdown inspirierte Angriffsmöglichkeiten auf CPUs. Die haben größtenteils mittelschwere Security-Auswirkungen. Programmschnipsel und Microcode Updates sollen die als MDS, Zombieload, RIDL oder Fallout bezeichneten Probleme eindämmen. lesen

Wichtige Windows-Updates sogar für Windows XP

Microsoft Patchday Mai 2019

Wichtige Windows-Updates sogar für Windows XP

Microsoft hat am Patchday im Mai 2019 für alle unterstützten Windows-Systeme Updates zur Verfügung gestellt. Dieses Mal wurde auch ein Update für Windows XP, Vista und Windows Server 2003 bereitgestellt. Die neue Seitenkanal-Malware ZombieLoad steht im Mai im Fokus der Updates. Wir geben einen Überblick. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45579222 / Definitionen)