1 de julio de 2015

CVEs. Los identificadores de vulnerabilidades superaron los 70.000

Según ha informado Mitre.org, el pasado 24 de junio la lista de CVEs sobrepasó los 70.000 identificadores únicos con nombres públicamente conocidos. 
 El CVE es el Common Vulnerabilities and Exposures, un estándar (administrado por la organización Mitre.org) que se encarga de identificar unívocamente a las vulnerabilidades. El CVE ha tenido gran aceptación entre todos los fabricantes porque la mayor parte de las veces es muy complejo saber a qué vulnerabilidad nos estamos refiriendo solo por ciertas características. Se hace necesario una especie de número de identidad único para cada fallo, puesto que en ocasiones son tan parecidas, complejas o se ha ofrecido tan poca información sobre ellas que la única forma de diferenciar las vulnerabilidades es por su CVE.
 La lista de identificadores CVEs, también conocidos en la comunidad como nombres CVE, números CVE, entradas CVE, CVE-IDs o simplemente CVEs, empezó en 1999 con solo 321 entradas. En la actualidad se ha convertido en un estándar internacional para la identificación de vulnerabilidades. Tanto los profesionales de la seguridad, como los fabricantes de todo el mundo usan el identificador CVE como un método estándar que no solo permite identificar las vulnerabilidades; sino que también facilita el trabajo de clasificación y las referencias cruzadas entre productos, servicios y repositorios.
 El identificador CVE, tiene la forma CVE-AAAA-NNNN (p.ej. CVE-2015-1234), donde AAAA representa el año en que se reportó o se conoció la vulnerabilidad, y el número NNNN se asigna según el organismo tiene conocimiento de la vulnerabilidad. Hasta 2014 se estimaba que con cuatro dígitos para el número de vulnerabilidad era suficiente para identificar todas las vulnerabilidades del año. Pero dado el aumento del número de vulnerabilidades anuales, se estimó la necesidad de ampliar el número de dígitos y en la actualidad no hay un límite de dígitos.
 Cada uno de los 70.000 identificadores de la Lista CVE incluye el identificador CVE, una breve descripción de la vulnerabilidad y todas las referencias pertinentes como análisis de la vulnerabilidad, avisos o parches.
La lista de CVEs se encuentra disponible en https://cve.mitre.org/cve desde donde se pueden realizar consultas individuales o descargar la lista completa en diversos formatos.
Más información:
Fuente: Hispasec