image

NCSC kan voortaan CVE-nummers aan kwetsbaarheden toekennen

donderdag 21 juli 2022, 09:38 door Redactie, 4 reacties

Het Nationaal Cyber Security Centrum (NCSC) kan voortaan zelfstandig CVE-nummers aan kwetsbaarheden toekennen. De overheidsinstantie is namelijk geautoriseerd als CVE Numbering Authority (CNA). In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst.

CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. CVE-nummers worden uitgegeven door een CNA. CNA's kunnen een CVE-nummer registreren voor een actueel beveiligingslek, maar het is ook mogelijk om een reeks van CVE-nummers te reserveren en die pas op een later moment te gebruiken.

Softwareleveranciers kunnen vaak zelf CVE-nummers toekennen aan hun eigen software. Leveranciers dat niet kunnen, kunnen nu worden bijgestaan door het NCSC. Ook voor kwetsbaarheden die het NCSC zelf vindt kan het CVE-nummers uitgeven. Begin dit jaar werd de Nederlandse vrijwilligersorganisatie DIVD (Dutch Institute for Vulnerability Disclosure) al een CVE Numbering Authority.

Reacties (4)
21-07-2022, 09:51 door Anoniem
Op dit moment bij het NCSC: https://imgflip.com/i/6nfieu
21-07-2022, 12:52 door Anoniem
Er zijn ook leveranciers die zelf CNA zijn, en dan mogen alleen zij een CVE aanmaken voor hun eigen producten, en anderen niet meer. Dan heb je zo van die leveranciers die deze regel misbruiken om te voorkomen dat bepaalde kwetsbaarheden een CVE krijgen, zo houden ze dat geheim.
21-07-2022, 14:07 door Anoniem
Door Anoniem: Er zijn ook leveranciers die zelf CNA zijn, en dan mogen alleen zij een CVE aanmaken voor hun eigen producten, en anderen niet meer. Dan heb je zo van die leveranciers die deze regel misbruiken om te voorkomen dat bepaalde kwetsbaarheden een CVE krijgen, zo houden ze dat geheim.

Dat gaat niet helemaal op. Zie §3.3 van de CNA Rules - https://www.cve.org/ResourcesSupport/AllResources/CNARules#section_3-3_escalated_issues_rules

Parties who contend that a Root's child CNA is not in compliance with the CNA Rules (e.g., [...] refusing to assign a CVE ID to a vulnerability [...]) may contact the Root about the issue. The Root will then judge whether the report is accurate and take any necessary actions.
21-07-2022, 21:46 door Anoniem
NCSC heeft zelf nog niet in de gaten wat kritiek en wat belangrijk is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.