Según
ha
informado Mitre.org, el pasado 24 de junio la lista de CVEs sobrepasó los 70.000 identificadores únicos
con nombres públicamente conocidos.
El CVE es el Common
Vulnerabilities and Exposures, un estándar (administrado por la organización
Mitre.org) que se encarga de identificar unívocamente a las vulnerabilidades.
El CVE ha tenido gran aceptación entre todos los fabricantes porque la mayor
parte de las veces es muy complejo saber a qué vulnerabilidad nos estamos
refiriendo solo por ciertas características. Se hace necesario una especie de
número de identidad único para cada fallo, puesto que en ocasiones son tan parecidas,
complejas o se ha ofrecido tan poca información sobre ellas que la única forma
de diferenciar las
vulnerabilidades es por su CVE.
La lista de identificadores CVEs,
también conocidos en la comunidad como nombres CVE, números CVE, entradas CVE,
CVE-IDs o simplemente CVEs, empezó en 1999 con solo 321 entradas. En la
actualidad se ha convertido en un estándar internacional para la identificación
de vulnerabilidades. Tanto los profesionales de la seguridad, como los
fabricantes de todo el mundo usan el identificador CVE como un método estándar que
no solo permite identificar las vulnerabilidades; sino que también facilita el
trabajo de clasificación y las referencias cruzadas entre productos, servicios
y repositorios.
El identificador CVE, tiene la
forma CVE-AAAA-NNNN (p.ej. CVE-2015-1234), donde AAAA representa el año en que
se reportó o se conoció la vulnerabilidad, y el número NNNN se asigna según el
organismo tiene conocimiento de la vulnerabilidad. Hasta 2014 se estimaba que
con cuatro dígitos para el número de vulnerabilidad era suficiente para
identificar todas las vulnerabilidades del año. Pero dado el aumento del número
de
vulnerabilidades anuales, se estimó la necesidad de ampliar el número de
dígitos y en la actualidad no hay un límite de dígitos.
Cada uno de los 70.000
identificadores de la Lista CVE incluye el identificador CVE, una breve
descripción de la vulnerabilidad y todas las referencias pertinentes como
análisis de la vulnerabilidad, avisos o parches.
La lista de CVEs se encuentra
disponible en
https://cve.mitre.org/cve desde donde se pueden realizar consultas individuales o descargar
la lista completa en diversos formatos.
Más información:
CVE List
Surpasses 70,000 CVE-IDs
Antonio Ropero
