La norme CVE et le Cert-IST
Date : 11 Juillet 2005
Le projet MITRE et la NORME CVE :
MITRE est une société qui travaille en partenariat avec le gouvernement américain afin de développer des solutions dans le domaine des technologies de l'information. Elle a lancé le projet CVE ("Common Vulnerabilities and Exposures") afin de faciliter l'échange d'information de sécurité entre divers outils, bases de données et organisations du marché. CVE est supporté par plus de 30 organisations commerciales, universitaires ou gouvernementales.
CVE est une liste ou un dictionnaire qui fournit des noms communs pour les failles et vulnérabilités de sécurité publiquement connues, comme les défauts d'implémentations des logiciels, les erreurs de conception ou les configurations non sécurisées.
CVE ne fait que décrire succinctement la faille ou la vulnérabilité, les détails techniques figurant déjà dans toutes les bases de vulnérabilités publiques ; CVE sert à faire le lien entre ces bases et n'a pas pour but de les remplacer.
La base CVE :
CVE se présente sous la forme d'une base d'avis, constitué d'un numéro CVE, d'un descriptif et d'une liste de références. Un exemple est donné ci-dessous :
CVE-2000-1187
Buffer overflow in the HTML parser for Netscape 4.75 and earlier allows remote attackers to execute arbitrary commands via a long password value in a form field.
Reference: REDHAT:RHSA-2000:109-05
Reference: CONECTIVA:CLSA-2000:344
Reference: SUSE:SuSE-SA:2000:48
Reference: FREEBSD:FreeBSD-SA-00:66
Reference: BUGTRAQ:20001121 Immunix OS Security update for netscape
Reference: XF:netscape-client-html-bo
Certains avis ne sont encore que des candidats à la base CVE et portent un numéro CAN (par exemple CAN-2000-1187). La base contenant la liste des candidats est également disponible sur le site de CVE : http://www.cve.mitre.org/
Le Cert-IST va adopter CVE :
Le Cert-IST a décidé de respecter ce souhait de normalisation et d'en faire profiter ses clients. Ainsi, pour chacun de ses avis, le Cert-IST indiquera son numéro CAN ou CVE s'il en a un. Ce qui permettra à ses clients de faire le lien avec les autres références citées par CVE pour cet avis et d'aller les consulter pour complément d'information. Inversement, s'ils découvrent une faille de sécurité pour laquelle le Cert-IST ne les a pas avertis (soit car le Cert-IST a décidé qu'elle n'était pas pertinente pour le client, soit parce qu'il ne l'a pas encore traitée), ils pourront aller consulter CVE pour obtenir des informations complémentaires.
Il devrait être également possible d'effectuer, dans le courant de l'année, une recherche sur la base du Cert-IST à partir d'un numéro CVE ; la décision de modification sera prise après une période d'évaluation de la couverture des avis du Cert-IST par la norme CVE ; pour les 4 premiers mois de 2001, hormis les virus qui ne font pas l'objet d'une nomenclature CVE, le "taux de couverture est de près de 80%", et c'est l'évolution ce taux que nous "surveillons".