CVE-Nummer

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Die CVE-Nummern bilden mit NVD und CVSS ein Gesamtsystem zur Bewertung von Sicherheitslücken:

CVE

Die Abkürzung CVE steht für Common Vulnerabilities and Exposures. CVE ist ein Industriestandard zur Benennung von Sicherheitslücken in Computersystemen.

CVE-Nummern sind Kennungen für häufig auftretende Schwachstellen und Sicherheitslücken (Exploits). Sie sollen die Feststellung ermöglichen, ob mit verschiedenen Bezeichnungen möglicherweise dieselbe Schwachstelle gemeint ist. Die MITRE Corporation, eine amerikanische Forschungsorganisation mit Ursprung im Massachusets Istitute of Technology (MIT), weist die CVE-Nummern zu und verwaltet Aufzeichnungen für diese Ereignisse im CVE-System das unter http://cve.mitre.org ausführlich beschrieben ist.

NVD

Die Abkürzung NVD steht für National Vulnerability Database und wird vom amerikanischen NIST (National Institute of Standards and Technology) betrieben. In der NVD sind fast alle, insbesondere die gefährlichen CVE-Schwachstellen ebenfalls aufgeführt; ergänzt um Updates, Patches und Workarounds zur Schließung der Sicherheitslücken. Zusätzlich ist eine Bewertung nach einem Score-System (CVSS) angegeben, um den Unternehmen eine Priorisierung zu ermöglichen. Die NVD ist unter https://nvd.nist.gov/vuln# zu finden.

CVSS

Die Abkürzung CVSS steht für Common Vulnerability Scoring System, das derzeit durch das Forum of Incident Response and Security Teams (FIRST) betreut wird. In die Entwicklung von CVSS sind u.a. Cisco, MITRE, eBay, IBM, Microsoft, Qualys und Symantec eingebunden.

Die Einstufungen des CVSS sind numerische Werte auf einer Skala von 0 bis 10. Die Werte entsprechen:

  • keine Verwundbarkeit - Wert von 0,0
  • niedrige Verwundbarkeit - Wert von 0,1 bis 3,9
  • mittlere Verwundbarkeit - Wert von 4,0 bis 6,9
  • hohe Verwundbarkeit - Wert von 7,0 bis 8,9
  • kritische Verwundbarkeit - Wert von 9,0 bis 10,0

Das BSI hatte auf dieser Grundlage eine IT-Schwachstellenampel entwickelt, die aber zwischenzeitlich eingestellt wurde.



Diese Seite wurde zuletzt am 12. November 2020 um 15:15 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Peter Hohl.