O que é CVE?

Copiar URL

O CVE, sigla inglesa para vulnerabilidades e exposições comuns, é uma lista pública de falhas de segurança. Quando alguém menciona CVE, refere-se a uma falha de segurança atribuída a um número de ID correspondente.

Os fornecedores e pesquisadores quase sempre mencionam pelo menos um ID CVE nos relatórios de segurança. Os CVEs ajudam os profissionais de TI a trabalhar em conjunto para priorizar e solucionar essas vulnerabilidades, a fim de tornar os sistemas de computadores mais seguros.

Aumente a segurança da nuvem híbrida

Não está a fim de ler? Aqui está um vídeo pequeno sobre CVE.

Recursos da Red Hat

O programa CVE é administrado pela MITRE Corporation e financiado pela Agência de Segurança Cibernética e de Infraestrutura (CISA), que integra o Departamento de Segurança Interna dos EUA.

As entradas do CVE são curtas. Não incluem dados técnicos, nem informações sobre riscos, impactos ou correções. Essas informações aparecem em outros bancos de dados, como o National Vulnerability Database (NVD) dos Estados Unidos, o Vulnerability Notes Database do CERT/CC e várias listas criadas por fornecedores e outras organizações.

O ID CVE oferece uma maneira de reconhecer vulnerabilidades em diferentes sistemas e coordenar o desenvolvimento de ferramentas e soluções de segurança. A MITRE Corporation mantém a Lista de CVEs, mas uma falha de segurança que se torna oficialmente um CVE, normalmente, é enviada por organizações e membros da comunidade open source.

Sobre os identificadores CVE

Os identificadores CVE são atribuídos por uma Autoridade de numeração CVE (CNA). Há aproximadamente 100 CNAs, que representam os principais fornecedores de TI (como a Red Hat, IBM, Cisco, Oracle e Microsoft), empresas de segurança e organizações de pesquisa. A MITRE também emite CVEs diretamente.

As CNAs recebem blocos de CVEs, que são reservados para atribuição aos novos problemas que forem descobertos. Milhares de IDs CVE são emitidos todos os anos. Uma única solução complexa, como sistemas operacionais, por exemplo, pode acumular centenas de CVEs.

Relatórios de CVEs podem surgir de várias fontes. Um fornecedor, um pesquisador ou um usuário atento podem descobrir uma falha e informar a respeito. Muitos fornecedores oferecem recompensas por bugs para encorajar a divulgação responsável de problemas de segurança. Se você encontrar alguma vulnerabilidade em um software open source, informe à comunidade.

De uma forma ou de outra, informações sobre a falha acabam chegando às CNAs. A CNA atribui um ID CVE à informação e cria uma breve descrição com referências. Assim, o novo CVE é publicado no site do CVE.

Muitas vezes, o ID CVE é atribuído antes da disponibilização pública do relatório de segurança. É comum fornecedores manterem falhas de segurança em segredo até desenvolverem e testarem uma correção. Isso reduz as chances de invasores explorarem as falhas não corrigidas.

Depois de publicada, a entrada inclui o ID CVE (no formato "CVE-2019-1234567"), uma descrição breve da exposição ou vulnerabilidade de segurança e referências, que podem trazer links para relatórios de vulnerabilidades e avisos.

Os IDs CVE são atribuídos a falhas que atendem a certos critérios. Elas devem ser:

1. Corrigíveis de forma independente.

A falha pode ser corrigida independentemente de outros bugs.

2. Reconhecidas pelo fornecedor afetado OU documentadas.

O fornecedor do software ou hardware reconhece o bug e admite o impacto negativo à segurança. Ou ele compartilha um relatório de vulnerabilidade que demonstra o impacto negativo do bug e a violação da política de segurança do sistema afetado.

3. Afetam apenas uma base de código.

Falhas que impactam mais de uma solução recebem CVEs separados. No caso de bibliotecas, protocolos ou padrões compartilhados, a falha recebe um único CVE apenas se não for possível usar o código compartilhado sem se tornar vulnerável. Caso contrário, cada base de código ou solução afetada recebe um CVE único.

Existem várias formas de avaliar a gravidade de uma vulnerabilidade. Uma delas é o Sistema de pontuação de vulnerabilidades comuns (CVSS), um conjunto de padrões abertos usado para atribuir um número a uma vulnerabilidade de acordo com sua gravidade. O NVD, CERT e outros bancos de dados usam essas pontuações para avaliar o impacto das vulnerabilidades. A pontuação vai de 0 a 10; quanto maior o número, mais grave. Muitos fornecedores de segurança criaram seus próprios sistemas de pontuação.

Três principais conclusões 

Conheça as suas implantações O fato de haver um CVE não quer dizer que o risco se aplique ao seu ambiente ou implantação específicos. Leia cada CVE com atenção e entenda se eles se aplicam ao seu ambiente ao verificar se são aplicáveis (total ou parcialmente) a sistema operacional, aplicação, módulos e configurações do seu ambiente único.

Faça o gerenciamento de vulnerabilidades.O gerenciamento de vulnerabilidades é um processo iterativo para identificar, classificar, priorizar, remediar e mitigar vulnerabilidades. Isso significa entender como um risco se aplica à sua organização para priorizar corretamente as vulnerabilidades pendentes que precisam ser resolvidas.

Prepare-se para se comunicar CVEs impactam os sistemas da sua empresa, tanto pelas próprias vulnerabilidades quanto pelo downtime necessário para resolvê-las. Comunique-se e coordene-se com seus clientes internos e compartilhe as vulnerabilidades com a gestão da central de riscos da sua organização.

Como a Red Hat trabalha com CVEs

Como uma das principais colaboradoras do software open source, a Red Hat está sempre envolvida na comunidade de segurança. Nós somos uma Autoridade de numeração CVE (CNA) e usamos IDs CVE para rastrear vulnerabilidades de segurança. A Red Hat Security mantém um banco de dados de atualizações de segurança aberto e atualizado que você pode consultar pelo número do CVE.

Explore o banco de dados CVE da Red Hat

Open Technology Sessions

Conheça a série de webinars da Red Hat em português feita para você descobrir como inovar. Aprenda sobre Automação, Infraestrutura, Plataforma de Aplicações, Cloud Services, Inteligência Artificial e muito mais!

 

O Red Hat Product Security oferece acesso a dados brutos de segurança na página Dados de segurança e em formatos compatíveis com máquinas por meio da API.

Além das métricas e relatórios de segurança que a Red Hat oferece, os clientes podem usar esses dados para gerar as próprias métricas de acordo com seus casos.

A API de dados de segurança inclui definições de Linguagem de avaliação e vulnerabilidade aberta (OVAL), documentos de Framework de relatórios de vulnerabilidades comuns (CVRF) e dados de CVE. Os dados estão disponíveis no formato XML e JSON.

Acesse a documentação sobre a API de segurança de dados da Red Hat

Descubra como a Red Hat aborda a segurança e a conformidade

Hub

Blog da Red Hat

Tudo relacionado à Red Hat: soluções, treinamentos e certificações Red Hat, casos de sucesso de clientes, novidades dos nossos parceiros e notícias sobre projetos das comunidades open source.

Teste as soluções da Red Hat

Você sabia que a Red Hat oferece versões de teste gratuitas de suas soluções? Aproveite e obtenha experiência prática, prepare-se para uma certificação da Red Hat ou avalie na prática se a solução é adequada para ao caso de uso.

Leia mais

O que é segurança de CI/CD?

A segurança de CI/CD é utilizada para proteger pipelines de códigos com a automação de verificações e testes, evitando vulnerabilidades na entrega do software.

O que é um sistema de prevenção e detecção de invasões (IDPS)?

Com um sistema de prevenção e detecção de invasões (IDPS), você monitora redes em busca de ameaças e toma medidas para interromper quaisquer ameaças detectadas.

Kubernetes: importância da segurança

O Kubernetes (k8s) é uma plataforma de orquestração de containers open source e operá-la com segurança é essencial. Conheça os desafios de segurança para a adoção do Kubernetes e como resolvê-los.

Segurança: leitura recomendada