LE PROJET MITRE ET LA NORME CVE
MITRE est une société qui travaille en partenariat avec le gouvernement afin de développer des solutions dans le domaine des technologies de l'information. Elle a lancé le projet CVE ("Common Vulnerabilities and Exposures") afin de faciliter l'échange d'information de sécurité entre divers outils, bases de données et organisations du marché. CVE est supporté par plus de 30 organisations commerciales, universitaires ou gouvernementales.
CVE est une liste ou un dictionnaire qui fournit des noms communs pour les failles et vulnérabilités de sécurité publiquement connues, comme les défauts d'implémentations des logiciels, les erreurs de conception ou les configurations non sécurisées.
CVE ne fait que décrire succinctement la faille ou la vulnérabilité, les détails techniques figurant déjà dans toutes les bases de vulnérabilités publiques ; CVE sert à faire le lien entre ces bases et n'a pas pour but de les remplacer.
LA BASE CVE
CVE se présente sous la forme d'une base d'avis, constitué d'un numéro CVE, d'un descriptif et d'une liste de références. Un exemple est donné ci-dessous :
CVE-2000-1187
Buffer overflow in the HTML parser for Netscape 4.75 and earlier allows remote attackers to execute arbitrary commands via a long password value in a form field.
Reference: REDHAT:RHSA-2000:109-05
Reference: CONECTIVA:CLSA-2000:344
Reference: SUSE:SuSE-SA:2000:48
Reference: FREEBSD:FreeBSD-SA-00:66
Reference: BUGTRAQ:20001121 Immunix OS Security update for netscape
Reference: XF:netscape-client-html-bo
Certains avis ne sont encore que des candidats à la base CVE et portent un numéro CAN (par exemple CAN-2000-1187). La base contenant la liste des candidats est également disponible sur le site de CVE : http://www.cve.org
LE CERT-IST ET LA NORME CVE
Le CERT-IST a décidé de respecter ce souhait de normalisation et d'en faire profiter ses clients. Ainsi, pour chacun de ses avis, le CERT-IST indique son numéro CAN ou CVE s'il en a un. Ceci permet à ses clients de faire le lien avec les autres références citées par CVE pour cet avis et d'aller les consulter pour complément d'information. Inversement, s'ils découvrent une faille de sécurité pour laquelle le CERT-IST ne les a pas averti (soit car le CERT-IST a décidé qu'il n'était pas pertinent pour le client, soit parce qu'il ne l'a pas vu), ils peuvent aller consulter CVE pour obtenir des informations.
Lors de l'envoi de l'avis par e-mail, si la vulnérabilité possède une référence CAN ou CVE, un lien direct vers cet avis sur le site de MITRE est disponible à la fin de l'e-mail.
Sur le site privé du Cert-IST (https://wws.cert-ist.com), la liste des Avis possède une colonne réservée aux références CAN/CVE. En cliquant sur un avis possédant une référence CVE, l'utilisateur obtient la description de l'avis, avec sa référence CAN/CVE également indiquée dans la colonne réservée à cet effet. Enfin, un lien direct sur la référence CAN/CVE sur le site de MITRE est disponible à la fin de la page.
Il est également possible d'effectuer une recherche sur la base du CERT-IST à partir d'un numéro CVE. Ainsi, à partir du site privé du Cert-IST, il est possible d'utiliser la "Recherche par mot clé" pour rechercher une référence CVE. Si un avis a été émis correspondant à cette référence, le résultat de la recherche l'indiquera.
VERSIONS CVE
A chaque nouvelle version CVE, le Cert-IST met à jour sa base de vulnérabilités afin de refléter les changements apportés par cette nouvelle version.