CVE.
보안 취약점에는 CVE로 시작하는 번호가 매겨져 있어서 좀 자세히 알아보도록 한다.
CVE[Common Vulnerabilities and Exposure]는 공개적으로 알려진 소프트웨어의 보안 취약점을 가리키는 고유 표기를 말한다.이는 취약점을 가진 다른 도구,저장소 및 서비스 간에 데이터를 공유하는 것이 목표다.CVE 체계를 사용하기 이전에는 각 기관이나 업체마다 각자의 보안 취약점을 가리키는 이름을 붙여 사용했으나 세로 체계가 다르다 보니 일관성이 없어 혼란스럽고 비효율적이었다.CVE체계는 미국 비영리 회사인 MITRE라는 회사에서 1999년 처음 만들어 운영하기 시작했다.이후 미국 국립표준기술연구소[NIST]가 국가 취약성 데이터베이스[NVD]를 만들어 협력 체계를 구축하면서 체계화되기 시작되었다.
CVE-2014-0000.
CVE-2014-0000은 차례대로 CVE접두사-해당년도-취약점 번호.
CVE 값은 CVE라는 문자에 취약점이 발견된 년도와 임의의 번호를 붙여 만들어진다.이런 식으로 연간 최대 9999개의 취약점 식별 번호를 지원할 수 있었다.그렇지만 기존에 사용되던 CVE 값으로 표현할 수 있는 취약점 개수가 한계에 다다랐다고 판단한 CVE 편집위원회와 MITRE는 CVE가 10000개 이상의 취약점에 이름을 매길 수 있도록 자릿수 제한을 없앴다.결국 MITRE는 2015년 1월 13일부터 CVE 체계를 변경했다.
위의 화면은 2015년부터 변경된 CVE 체계이다.CVE 네이밍 체계의 변화는 CVE의 모든 사용자에게 영향을 미쳤다.기존 CVE 네이밍 자릿수에 딱 맞게 코딩을 한 상태라면 이러한 변화가 썩 반갑지 않은 경우도 발생했다.그렇지만 모든 취약점 감지 및 관리 툴, GRC 시스템,패치 관리,보안 정보 플랫폼 등 CVE 네이밍 체제가 적용되는 곳에 변화가 필요했다.또한 늘어난 자릿수 떄문에 CVE 값이 예상한 순서대로 정렬되지 않을 수도 있다.예를 들면 CVE-2014-11111는 CVE-2014-9999보다 나중에 매겨진 값이지만 CVE-2014-9999 이전의 값으로 표현될 수 있다.
CVE 값을 발급하는 방법은 2가지가 있다.1번째는 상대적으로 규모가 큰 기업의 소프트웨어 보안 취약점을 리포트하면 해당 기업이 보안 취약점을 패치하면서 자체적으로 CVE 발급 기관에 연락해서 CVE 값을 발급해준다. 2번째는 직접 CVE 발급 기관에 요청하는 방법이다.보안 취약점을 발견해 CVE를 관리,운영하는 MITRE에 요청을 하면 CVE 후보,즉 CNA로 등록이 된다.CVE 에디터는 주요 CNA에 대해 논의를 거쳐 CVE 값을 발급할지 여부를 결정하게 된다.
Related Link => http://cve.mitre.org
'#Security' 카테고리의 다른 글
| #OWASP-Top 10 History Table. (0) | 2018.05.31 |
|---|---|
| #OWASP-2004. (0) | 2018.05.31 |
| #OWASP-2007. (0) | 2018.05.31 |
| #OWASP-2010 vs OWASP-2007. (0) | 2018.05.31 |
| #OWASP-2010 PART 2. (0) | 2018.05.31 |
