Visão geral
O CVE, sigla inglesa para vulnerabilidades e exposições comuns, é uma lista pública de falhas de segurança. Quando alguém menciona CVE, refere-se a uma falha de segurança atribuída a um número de ID correspondente.
Os fornecedores e pesquisadores quase sempre mencionam pelo menos um ID CVE nos relatórios de segurança. Os CVEs ajudam os profissionais de TI a trabalhar em conjunto para priorizar e solucionar essas vulnerabilidades, a fim de tornar os sistemas de computadores os mais seguros possíveis.
Como funciona o sistema CVE?
Em 1999, a MITRE Corporation, uma empresa de desenvolvimento e pesquisa financiada pelo governo dos EUA, desenvolveu o sistema CVE, um padrão para relatar e rastrear falhas na segurança de software.
As entradas de CVE são curtas. Elas não incluem dados ou informações técnicas sobre riscos, impactos e correções. Esses detalhes aparecem em outros bancos de dados, como o National Vulnerability Database (NVD) dos Estados Unidos, o Vulnerability Notes Database do CERT/CC e várias listas gerenciadas por fornecedores e outras organizações.
O ID CVE oferece uma maneira confiável de reconhecer vulnerabilidades em diferentes sistemas e coordenar o desenvolvimento de ferramentas e soluções de segurança. A MITRE Corporation mantém a lista de CVEs, mas uma falha de segurança que se torna oficialmente um CVE, normalmente, é enviada por organizações e membros da comunidade open source.
Sobre os identificadores CVE
Os identificadores CVE (ou IDs CVE) são atribuídos por uma autoridade de numeração CVE (CNA). Há aproximadamente 100 CNAs, incluindo empresas de segurança, organizações de pesquisa e os principais fornecedores de TI como a Red Hat, IBM, Cisco, Oracle e Microsoft. A MITRE também emite CVEs diretamente.
As CNAs recebem blocos de IDs CVE e os reservam para os novos problemas que forem descobertos. Milhares de IDs CVE são emitidos todos os anos. Uma única solução complexa, como sistemas operacionais, pode acumular centenas de CVEs. Isso significa que há vulnerabilidade assim que começam as fases de manutenção final (quando correções de bug e patches de segurança param de ser emitidos) e fim da vida (quando todo o suporte próprio termina). Por exemplo, quando o CentOS Linux 7 entrou no período de fim da vida em 1º de julho de 2024, um novo CVE foi anunciado dentro de um dia. Isso releva a importância de migrar para um sistema operacional estável que receba patches e atualizações de segurança regulares.
Qualquer pessoa pode descobrir e informar uma falha na segurança, seja um fornecedor, um pesquisador ou um usuário atento. Muitos fornecedores oferecem recompensas por falhas para encorajar a divulgação responsável de problemas de segurança. Se você encontrar alguma vulnerabilidade em um software open source, informe à comunidade relevante.
De uma forma ou de outra, informações sobre a falha acabam chegando às CNAs. Elas então atribuem a informação a um ID CVE. Por fim, o novo CVE é publicado neste website.
Normalmente, as CNAs atribuem um ID CVE antes de tornar pública a orientação de segurança. Fornecedores normalmente mantêm as falhas de segurança em segredo até que desenvolvam e testem correções para ajudar a prevenir a exploração de falhas sem patch.
Depois de publicada, a entrada inclui o ID CVE (no formato "CVE-2019-1234567"), uma descrição breve da exposição ou vulnerabilidade de segurança e referências, que podem trazer links para relatórios de vulnerabilidades e avisos.
Acesse a biblioteca de conteúdos da Red Hat
O que qualifica um CVE?
De acordo com as regras operacionais das CNAs, IDs CVE são atribuídos a falhas que atendem a critérios específicos, que são os seguintes:
- Ser corrigível de forma independente.
A falha pode ser corrigida independentemente de outras falhas. - Ser reconhecida pelo fornecedor afetado ou documentada.
O fornecedor de software ou hardware reconhece a existência da falha e confirma que ela impacta negativamente a segurança. Outra opção é compartilhar um relatório de vulnerabilidade que demonstra o impacto negativo da falha e a violação da política de segurança do sistema afetado. - Impactar apenas uma base de código.
Se uma falha impacta mais de uma solução, ela recebe um CVE para cada uma. No caso de bibliotecas, protocolos ou padrões compartilhados, a falha recebe um único CVE apenas se não for possível usar o código compartilhado sem se tornar vulnerável. Caso contrário, cada base de código ou solução impactada recebe um CVE exclusivo.
O que é o CVSS?
Existem várias formas de avaliar a gravidade de uma vulnerabilidade. Uma delas é o CVSS, um conjunto de padrões abertos usado para atribuir um número a uma vulnerabilidade de acordo com sua gravidade. O NVD, CERT e outros bancos de dados usam essas pontuações para avaliar o impacto das vulnerabilidades. A pontuação vai de 0 a 10. Quanto maior o número, mais grave. Muitos fornecedores de segurança chegaram até a criar seus próprios sistemas de pontuação.
Três principais conclusões
Conheça as suas implantações. O fato de haver um CVE não quer dizer que o risco se aplique ao seu ambiente ou implantação específicos. Leia cada CVE para garantir que ele é (total ou parcialmente) relevante para o sistema operacional, a aplicação, os módulos e as configurações do seu ambiente.
Gerencie as vulnerabilidades. O gerenciamento de vulnerabilidades é um processo iterativo para identificar, classificar, priorizar, remediar e mitigar vulnerabilidades. Isso envolve entender como um risco se aplica à sua organização para priorizar corretamente as vulnerabilidades pendentes que precisam ser resolvidas.
Prepare-se para se comunicar. CVEs impactam os sistemas da sua empresa, tanto pelas próprias vulnerabilidades quanto pelo tempo de inatividade necessário para resolvê-las. Coordene os próximos passos com seus clientes internos e compartilhe as vulnerabilidades com a gestão central de riscos da sua organização.
Como a Red Hat trabalha com CVEs
Como uma das principais colaboradoras do software open source, a Red Hat está sempre envolvida na comunidade de segurança. Nós somos uma CNA e usamos IDs CVE para rastrear vulnerabilidades de segurança. O Red Hat Product Security mantém um banco de dados de segurança aberto que estamos sempre atualizando. Você pode consultá-lo pelo número do CVE. A Red Hat continua cuidando de CVEs classificados como críticos ou importantes de soluções em fim de manutenção (EOM), como o Red Hat Enterprise Linux 7, no nosso programa Extended Lifecycle Support (ELS).
O que é a API de dados de segurança da Red Hat?
O Red Hat Product Security oferece acesso a dados brutos de segurança no Portal do Cliente Red Hat e em formatos compatíveis com máquinas por meio da API Security Data.
Além das métricas e relatórios de segurança que a Red Hat oferece, os clientes podem usar esses dados para gerar as próprias métricas de acordo com seus casos.
A API Security Data inclui definições de linguagem de avaliação e vulnerabilidade aberta (OVAL), documentos de framework de relatórios de vulnerabilidades comuns (CVRF) e dados de CVE. Os dados estão disponíveis no formato XML e JSON.
Blog da Red Hat
Tudo relacionado à Red Hat: soluções, treinamentos e certificações Red Hat, casos de sucesso de clientes, novidades dos nossos parceiros e notícias sobre projetos das comunidades open source.
