Ortak Güvenlik Açıkları ve Etkilenmeler (CVE)

Ceys

Yaşayan Forum Efsanesi
2 Nis 2016
7,669
4,964
Orhun Nehri

Merhabalar. Konunun içeriğinde Common Vulnerabilities and Exposures (CVE) yani Türkçe’si Ortak Güvenlik Açıkları ve Etkilenmeler'dir. Öncelikle ne olduğundan söz edelim. Bu kısımdan sonra Ortak Güvenlik Açıkları ve Etkilenmeler kısaltma olarak CVE terimi kullanılacaktır.

İçindekiler

• CVE Nedir?
• CVE Kimliğine Genel Bir Bakış
• CVE Kaydı
• CVE Kimliğindeki Açıklamalar
• CVE Numaralandırma Yetkilileri (CNA)
• CVE Kayıt Durumları Ne Anlama Gelir?
• Sıkça Sorulan Sorular (SSS)​

CVE Nedir?

CVE, tüm dünya üzerindeki bilinen siber güvenlik açıklarının bir listesidir denilebilir. Yani bir sözlük niteliği taşımaktadır. Bu listedeki güvenlik açıklarının kimlik numarası niteliğinde bir numarası vardır. Genel olarak bir cümle ile ifade edecek olursak; CVE, yaygın güvenlik açıklarını ve riskleri ifade eder.
Şimdi insanın aklına bir soru geliyor. Bu açıkları bunlar mı tespit ediyor? Tam anlamıyla hayır. CVE ile ortak iş yapan siber kurum ve kuruluşlar güvenlik açığını tespit ettikten sonra yayınlarlar. Benzer şekilde siber uzmanlar güvenlik açıklarına karşı savunma geliştirmede bu kimlikleri kullanabilirler.​

CVE Kimliğine Genel Bir Bakış

CVE Kaydı


CVE kaydı, CVE Listesinde (https://cve.mitre.org/cve/) bulunan kayıtlardır. Ayrıca her bir CVE kaydında, kimliğin sıra numarası ve tarihi bulunur.

Güvenlik açığının kısa bir özeti,

Tespit edenler, raporlayanlar ve verdikleri öneriler.
Örnek kimlik numarası:
CVE-1999-0067
CVE-2014-12345
CVE-2016-7654321


CVE Kimliğindeki Açıklamalar


CVE Kimliğindeki Açıklamalar genellikler yetkililer(CNA) tarafından veya tespit eden kişiler tarafından yazılır. Açıklamalar güvenlik açığının tespitini, sürümü, ne gibi zafiyetlerinin bulunduğu, sömürmede nelere ihtiyaç duyulduğunu ve önemli kod parçalarını/bileşenlerini içerir.​


CVE Numaralandırma Yetkilileri (CNA)


CVE numaralandırma yetkilileri bir CVE kimliğinin numaralandırma işlemini ve açıklamalarını yayınlayan kişi veya kişilerdir.​


CVE Kayıt Durumları Ne Anlama Gelir?




CVE kayıtlarında aşağıdaki durumlar mevcuttur. Bir CVE yayını aşağıdaki ifadelerle işaretlenir. Tıpkı çözüldü/çözülmedi mantığıyla. Bu öneklerin her birinin farklı bir anlamı vardır.
• Reserved (Ayrılmış)
• Disputed (Tartışmalı)
• Reject (Reddedildi)


Şimdi bunları kısaca açıklayalım..

Reserved (Ayrılmış)

Ayrıntıları henüz yayınlanmayan CVEler Reserved olarak işaretlenir. Kısa süre içerisinde ayrıntıları yayınlandığında kullanılabilir hale getirilerek listede sunulur.

Disputed (Tartışmalı)

Eğer siz bir açık buldunuz bunu bildirdiniz diyelim. Size katılmayanlar çıkabilir. Eğer bu işlemi yapan kurumlardan biri veya bazıları size katılmazsa bu şekilde işaretlenir.

Reject (Reddedildi)

Bu çok net bir şekilde kabul edilmeyen CVElere verilir. Kabul edilmeme nedeni geri dönüş olarak bildirilir.​

Arama Yapılınca Çıkan sonuç örneği




Temel olarak bilgilendirme bu kadar. Şimdi sıkça sorulan sorulara geçelim.


Sıkça Sorulan Sorular (SSS)




CVE Listesi tüm güvenlik açıklarını barındırır mı?

Herkes tarafından bilinene tüm güvenlik açıkları mevcuttur. Ayrıca herhangi biri talepte bulunabilir.


Birisi web siteme saldırdı. CVE iyileşmeme yardımcı olabilir mi?

CVE, bir saldırganın yetkisiz erişim elde etmek için hangi güvenlik açığından yararlanmış olabileceğini tam olarak belirlemenize yardımcı olamaz. Ancak hangi güvenlik açığından yararlanıldığını belirledikten sonra, CVE kimliğini bulabilir ve düzeltme bilgileri, teknik ayrıntılar ve size yardımcı olacak diğer bilgileri elde etmek için CVE ile uyumlu bilgi kaynaklarını incelemek için kullanabilirsiniz.


CVE, ağımı korumama nasıl yardımcı olabilir?

Belirli bir güvenlik açığı veya maruziyet için CVE Kimliğini kullanarak, CVE ile uyumlu çeşitli bilgi kaynaklarından hızlı ve doğru bir şekilde bilgi alabileceksiniz. CVE, farklı güvenlik araçları ve hizmetleri arasında daha iyi karşılaştırmaları kolaylaştırarak, bu yeteneklerden hangisinin ihtiyaçlarınıza uygun olduğuna dair daha iyi bir seçim yapmanıza yardımcı olabilir. Ayrıca, bu araçlar ve yetenekler bir çeviri mekanizması olarak CVE'yi içeriyorsa, birden fazla satıcıdan birlikte çalışabilen bir güvenlik araçları ve yetenekleri paketi oluşturabilirsiniz.


CVE kimliklerini ürünüme / veri tabanıma / güvenlik danışmanlığıma / vb. Ekleyebilir miyim?

Evet, CVE ücretsizdir. CVE Listesini arayabilir veya indirebilir , kopyalayabilir, yeniden dağıtabilir, referans verebilir ve CVE'nin kendisini değiştirmediğiniz sürece analiz edebilirsiniz. Ayrıca web sitenizden, ürününüzden, yayınınızdan veya diğer yeteneklerinizden belirli CVE Kaydı sayfalarına bağlantı verebilirsiniz.


CVEler nasıl indirilir?

https://cve.mitre.org/data/downloads/index.html

CVE Talep Formu nasıl alınır/gönderilir?

https://cveform.mitre.org/ bu adreste istekte bulunabilir. Yeni bir açığı ekletebilirsiniz. Tabi incelenip onay verilecek.​


NOT: Bu içerikler https://cve.mitre.org/index.html CVE’nin sitesinden çevrilerek yayınlanmıştır.


Daha detaylı içeriklere Aşağıdaki linklerden ulaşabilirsiniz. Linklerin tamamı CVE resmi sitesine aittir.


Esen kalın.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.