Schwachstellen
CVE (Common Vulnerabilities and Exposures)
Auch bekannt als: CVE-ID, CVE-Eintrag
Definition
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.
Beispiele
- CVE-2014-0160 (Heartbleed): Heartbeat-Read-Overflow in OpenSSL.
- CVE-2021-44228 (Log4Shell): Remote-Code-Ausführung über JNDI-Lookups in Log4j.
Verwandte Begriffe
Schwachstelle
Eine Schwäche in einem System, einer Anwendung oder einem Prozess, die ein Angreifer ausnutzen kann, um Vertraulichkeit, Integrität oder Verfügbarkeit zu beeinträchtigen.
CWE (Common Weakness Enumeration)
Eine community-gepflegte Taxonomie von Software- und Hardware-Schwächetypen – die zugrunde liegenden Fehlerklassen, die zu Schwachstellen führen.
CVSS (Common Vulnerability Scoring System)
Offenes, von FIRST gepflegtes Framework, das auf Basis von Ausnutzungs- und Auswirkungseigenschaften eine Schweregradzahl von 0–10 für Schwachstellen erzeugt.
EPSS (Exploit Prediction Scoring System)
Datengestütztes Modell des FIRST, das die Wahrscheinlichkeit schätzt, dass eine CVE in den nächsten 30 Tagen in freier Wildbahn ausgenutzt wird.
Aktiv ausgenutzte Schwachstelle (KEV)
Eine CVE, die die US-CISA als aktiv ausgenutzt bestätigt und in ihren öffentlichen KEV-Katalog aufnimmt, wodurch Behandlungsfristen für US-Bundesbehörden ausgelöst werden.
CVE Numbering Authority (CNA)
CVE Numbering Authority (CNA) — definition coming soon.