CVE - Common Vulnerabilities and Exposures

Les informations données dans ce répertoire sont descriptives et superficielles. Elles doivent signaler l'existance d'un risque à un endroit donné, afin de permettre aux utilisateurs de prendre certaines mesures et de se mettre en alerte pour déployer le correctif dès qu'il sera disponible, sans donner d'information permettant à un cybercriminel d'exploiter la faille.

Les informations sont données dans des fiches dont l'identifiant doit répondre strictement à une syntaxe obligatoire :

CVE-AAAA-NNNN (AAAA étant l'année de publication de la fiche CVE et NNNN étant un numéro incrémenté par +1). On remarquera qu'il n'est donc pas prévu plus de 9999 CVE par an.

Exemple d'un CVE ( Faille Heartbleed dans OpenSSL ) :

OpenSSL Security Advisory [07 Apr 2014]
========================================

TLS heartbeat read overrun (CVE-2014-0160)
==========================================

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Qui gère le dictionnaire CVE ?

CVE est, initialement, un dictionnaire des Etats-Unis d'Amérique

Contre mesures

Références

Ressources

Requêtes similaires