Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


CVE (Common Vulnerabilities and Exposures - Vulnérabilités et expositions communes)

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
14.04.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajouté un exemple de CVE

Un identifiant " CVE " est l'identifiant d'une fiche de description succinte d'une vulnérabilité (une faille de sécurité, etc. ...) dans le dictionnaire unique et international des fiches de vulnérabilité.

Assiste.com :

CVE - Common Vulnerabilities and ExposuresCVE - Common Vulnerabilities and ExposuresCVE - Common Vulnerabilities and Exposures

CVE est un répertoire intégral d'informations extrêmement succintes et publiques sur les vulnérabilités, failles de sécurité et risques découverts et auxquels les utilisateurs sont exposés.

Les informations données dans ce répertoire sont descriptives et superficielles. Elles doivent signaler l'existance d'un risque à un endroit donné, afin de permettre aux utilisateurs de prendre certaines mesures et de se mettre en alerte pour déployer le correctif dès qu'il sera disponible, sans donner d'information permettant à un cybercriminel d'exploiter la faille.

Les informations sont données dans des fiches dont l'identifiant doit répondre strictement à une syntaxe obligatoire :

CVE-AAAA-NNNN (AAAA étant l'année de publication de la fiche CVE et NNNN étant un numéro incrémenté par +1). On remarquera qu'il n'est donc pas prévu plus de 9999 CVE par an.

Exemple d'un CVE ( Faille Heartbleed dans OpenSSL ) :

CVE-2014-0160 - openssl.org
https://www.openssl.org/news/secadv_20140407.txt

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Qui gère le dictionnaire CVE ?Qui gère le dictionnaire CVE ?Qui gère le dictionnaire CVE ?

CVE est, initialement, un dictionnaire des Etats-Unis d'Amérique

Contre mesuresContre mesures" Contre mesures "

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "