Wikipedia

Common Vulnerabilities and Exposures: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
"Ampliamento con parziale traduzione della voce https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures"
"Ampliamento con parziale traduzione della voce https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures"
Riga 42:
 
La lunghezza del campo “cifre arbitrarie” è variabile ma deve contenere almeno quattro (4) caratteri, perciò la sintassi è retrocompatibile.
 
==CVE SPLIT e MERGE==
 
Il CVE tenta di assegnare una voce per ogni problema di sicurezza, ma a volte questo risulta impossibile a causa del numero troppo elevato che ne risulta (ad esempio solo per le vulnerabilità di tipo cross-site scripting trovate nelle applicazioni [[PHP]] ne andrebbero scritte dozzine). Per gestire questa situazione ci sono linee-guida per la divisione (splitting) e riunione (merging) dei problemi in distinti CVE ID.
Quando alcune vulnerabilità vengono considerate unificabili, vengono divise per tipo (ad esempio[[ buffer overflow]]/[[stack overflow]]), poi per versione del software che colpiscono e infine in base al soggetto che le riporta (se viene riportata da due soggetti diversi verrà fatto uno SPLIT e registrata con due CVE ID diversi).
Ad esempio, se Alice segnala una vulnerabilità nella creazione di un file /tmp nelle versioni precedenti alla 1.2.3 del browser web ExampleSoft e, oltre a questa, vengono trovate altre vulnerabilità nella creazione di file /tmp, in molti casi questa viene considerata come due segnalazioni distinte (questo genererà due identificativi CVE separati, se Alice lavora per ExampleSoft e un team interno a ExampleSoft trova le altre vulnerabilità allora i due CVE possono essere unificati).
Al contrario se, ad esempio, Bob trovasse 145 vulnerabilità XSS in ExamplePlugin per ExampleFramework indipendentemente dalle versioni colpite, esse potrebbero essere unificate in un’unica voce (MERGE)<ref>{{Cita web | titolo =CVE Abstraction Content Decisions: Rationale and Application | url = https://cve.mitre.org/cve/editorial_policies/cd_abstraction.html | accesso = 12-06-2016}}</ref>.
 
==Dove trovare le CVE==
Il database CVE MITRE può essere trovato al link [https://cve.mitre.org/cve/cve.html CVE List Master Copy] mentre quello NVD a [https://web.nvd.nist.gov/view/vuln/search Search CVE and CCE Vulnerability Database].
Attualmente il numero degli identificatori CVE assegnati ammonta a: 76311<ref>{{Cita web | titolo =About CVE | url = https://cve.mitre.org/about/ | accesso = 12-06-2016}}</ref>.
 
==Voci correlate==
*{{CVSS}}
 
== Note ==
Riga 52 ⟶ 66:
*{{cita web|https://people.redhat.com/kseifrie/CVE-OpenSource-Request-HOWTO.html|CVE-OpenSource-Request-HOWTO}}
*{{cita web|https://cve.mitre.org/cve/identifiers/syntaxchange.html|CVE-ID Syntax Change}}
*{{cita web|https://cve.mitre.org/cve/editorial_policies/cd_abstraction.html|CVE Abstraction Content Decisions: Rationale and Application}}
*{{cita web|https://cve.mitre.org/cve/cve.html|CVE List Master Copy}}
*{{cita web|https://web.nvd.nist.gov/view/vuln/search|Search CVE and CCE Vulnerability Database}}
*{{cita web|https://cve.mitre.org/about|About CVE}}
 
{{portale|Sicurezza informatica}}
Estratto da "https://it.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures"