stringtranslate.com

Base de datos nacional de vulnerabilidad

La Base de datos nacional de vulnerabilidades ( NVD ) es el depósito del gobierno de EE. UU. de datos de gestión de vulnerabilidades basados ​​en estándares representados mediante el Protocolo de automatización de contenidos de seguridad (SCAP). Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento. NVD incluye bases de datos de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto. NVD apoya el Programa de Automatización de Seguridad de la Información (ISAP).

El viernes 8 de marzo de 2013, la base de datos se desconectó después de que se descubrió que el sistema utilizado para ejecutar varios sitios gubernamentales había sido comprometido por una vulnerabilidad de software de Adobe ColdFusion . [1] [2]

En junio de 2017, la empresa de inteligencia sobre amenazas Recorded Future reveló que el retraso medio entre la revelación de un CVE y su publicación final en el NVD es de 7 días y que el 75 % de las vulnerabilidades se publican de forma no oficial antes de llegar al NVD, lo que da a los atacantes tiempo para explotar. la vulnerabilidad. [3]

Además de proporcionar una lista de vulnerabilidades y exposiciones comunes (CVE), el NVD puntúa las vulnerabilidades utilizando el sistema de puntuación de vulnerabilidad común (CVSS) [4] , que se basa en un conjunto de ecuaciones que utilizan métricas como la complejidad del acceso y la disponibilidad de una solución. . [5]

En agosto de 2023, NVD marcó erróneamente un error de desbordamiento de enteros en versiones antiguas de cURL como una vulnerabilidad crítica de 9,8 sobre 10. El desarrollador principal de cURL, Daniel Stenberg, respondió diciendo que esto no era un problema de seguridad, que el error había sido parcheado casi 4 años antes, solicitó que se rechazara el CVE y acusó a NVD de "alarmismo" e "inflar enormemente el nivel de gravedad de los problemas". [6] MITRE no estuvo de acuerdo con Stenberg y negó su solicitud de rechazar el CVE, señalando que "hay una debilidad válida... que puede conducir a un impacto válido en la seguridad". [7] En septiembre de 2023, NVD reclasificó el problema como una vulnerabilidad 3.3 "baja", afirmando que "puede (en teoría) causar una denegación de servicio" para los sistemas atacados, pero que este vector de ataque "no es especialmente plausible". [8]

Ver también

Referencias

  1. ^ a las 17:55, Jack Clark en San Francisco el 14 de marzo de 2013. "Catálogo de vulnerabilidades estadounidense caído infectado durante al menos DOS MESES". www.theregister.co.uk . Consultado el 29 de octubre de 2019 .{{cite web}}: Mantenimiento CS1: nombres numéricos: lista de autores ( enlace )
  2. ^ "Base de datos nacional de vulnerabilidad de EE. UU. pirateada".
  3. ^ "El 75% de las vulnerabilidades se compartieron en línea antes de la publicación de NVD". Lectura oscura . 7 de junio de 2017 . Consultado el 29 de octubre de 2019 .
  4. ^ Zhang, Su; Ou, Xinming; Caragea, Doina (31 de diciembre de 2015). "Predicción de riesgos cibernéticos a través de una base de datos nacional de vulnerabilidades". Revista de seguridad de la información: una perspectiva global . 24 (4–6): 194–206. doi :10.1080/19393555.2015.1111961. ISSN  1939-3555. S2CID  30587194.
  5. ^ "NVD - Ecuaciones CVSS v2". nvd.nist.gov . Archivado desde el original el 21 de diciembre de 2013.
  6. ^ Stenberg, Daniel (26 de agosto de 2023). "CVE-2020-19909 es todo lo que está mal con los CVE". Blog de Daniel Stenberg . Consultado el 26 de agosto de 2023 .
  7. ^ "curl - Informe falso presentado por anónimo - CVE-2020-19909". curl.se. _ Consultado el 31 de agosto de 2023 .
  8. ^ "NVD-CVE-2020-19909". nvd.nist.gov . Archivado desde el original el 5 de septiembre de 2023 . Consultado el 7 de septiembre de 2023 .

enlaces externos


  • v
  • t
  • mi