sures
CVE ´e uma lista de informa¸c˜oes sobre vulnerabilidades e exposi¸c˜oes da segu- ran¸ca da informa¸c˜ao, criada em 1999 e que pretende fornecer nomes comuns para problemas publicamente conhecidos. O objetivo de CVE ´e tornar mais f´acil o compartilhamento de informa¸c˜oes atrav´es das potencialidades separadas da vul- nerabilidade (ferramentas, reposit´orios, e os servi¸cos) com esta numera¸c˜ao padr˜ao. Para demonstrar a grande capacidade de trabalho e a busca pela padroniza¸c˜ao e aceita¸c˜ao, os desenvolvedores do CVE est˜ao catalogando cada vez mais in- forma¸c˜oes sobre vulnerabilidades [12] (ver Figura 5.3, buscando sempre a trans- parˆencia em suas a¸c˜oes. Desde o in´ıcio do projeto as informa¸c˜oes vˆem crescendo em n´umeros, devido ao incremento de vulnerabilidades e fatores como maior uti- liza¸c˜ao de tecnologias de redes.
Define-se como um padr˜ao no tratamento e divulga¸c˜ao de informa¸c˜oes sobre vulnerabilidades reportadas. O CVE ´e um banco de dados p´ublico em que todos interessados podem obter acesso a informa¸c˜oes sobre vulnerabilidades.
O conte´udo do banco de dados CVE ´e resultado de esfor¸cos colaborativos entre v´arias entidades ligadas `a seguran¸ca da informa¸c˜ao, entre elas: Sans Institute, Cancert, CERT, entre outras.
O principal gestor do CVE ´e o MITRE (Massachusetts Institute of Tech- nology’s Digital Computer Laboratory). Como o projeto ´e colaborativo, n˜ao ´e exigida uma contribui¸c˜ao, mas pode ser feita, tanto financeiramente, quanto em rela¸c˜ao `a divulga¸c˜ao de informa¸c˜oes.
A proposta geral do MITRE com a utiliza¸c˜ao do CVE n˜ao ´e apenas a di- vulga¸c˜ao de informa¸c˜oes sobre o aspecto de vulnerabilidades e seguran¸ca[13], mas principalmente a padroniza¸c˜ao de como essa informa¸c˜ao deve ser encaminhada e tratada. Dessa forma, corrigem-se eventuais duplica¸c˜oes de informa¸c˜ao e trata
Figura 5.3: Vulnerabilidades cadastradas pelo CVE
de maneira eficiente os dados coletados, permitindo uma maior compreens˜ao e, conseq¨uentemente, a qualidade na obten¸c˜ao de dados relacionados `a seguran¸ca.
Usando um identificador comum torna-se mais f´acil compartilhar as informa¸c˜oes atrav´es das bases de dados separadas, ferramentas e servi¸cos.
Um identificador do CVE permite uma padroniza¸c˜ao das informa¸c˜oes sobre vulnerabilidades. Conhecendo-se esse identificador ´e poss´ıvel obter rapidamente a informa¸c˜ao sobre o problema atrav´es das fontes de informa¸c˜ao m´ultiplas que s˜ao compat´ıveis com o CVE. Por exemplo, possuindo uma ferramenta da seguran¸ca cujos relat´orios contenham referˆencias aos identificadores de CVE, pode-se ent˜ao obter a informa¸c˜ao da corre¸c˜ao em uma base de dados.
5.2.1
Defini¸c˜ao de nomes no CVE
Para facilitar a transferˆencia de informa¸c˜oes sobre vulnerabilidades, a equipe de projeto definiu algumas caracter´ısticas que a nomenclatura deve conter no CVE, s˜ao elas:
• N´umero de identifica¸c˜ao CVE (i.e., ”CVE -2006-0125”); • Indica¸c˜ao para o status: Entrada ou candidato;
• Breve descri¸c˜ao da vulnerabilidade;
• Qualquer referˆencia pertinente. Exemplo: vulnerabilidade reportada e re- lat´orio formal (advisories).
O n´umero de identifica¸c˜ao, tamb´em chamado de CVE-ID, ´e ´unico, sendo re- presentado pelo ano e n´umero da vulnerabilidade em ordem de entrada.
A indica¸c˜ao do status tem uma regra simples, a entrada ´e toda a informa¸c˜ao que foi aceita e faz parte da base como confirmada, o status candidato refere-se a informa¸c˜oes que ainda n˜ao foram confirmadas mas est´a na lista para aceita¸c˜ao. Em breve descri¸c˜ao, toda a vulnerabilidade cont´em rela¸c˜ao de informa¸c˜oes perti- nentes.
O processo para a cria¸c˜ao de uma entrada CVE come¸ca quando da descoberta de uma potencial vulnerabilidade. A informa¸c˜ao, ent˜ao, ´e designada como CVE Candidate Numbering Authority (CNA), publicada no CVE Web site, e sugerida `a comiss˜ao de diretores (CVE Editor ).
A gest˜ao do CVE cabe ao MITRE que em conjunto com a comiss˜ao de di- retores ir´a discutir a lista de candidatos e votar se ser´a ou n˜ao aprovada. Caso a decis˜ao algum candidato seja a de rejeitar, ser´a informado via Web site. Se o candidato for aceito o status ser´a atualizado para entrada na lista CVE e tamb´em informado via Website.
5.2.1.1 Relat´orio do CVE para uma vulnerabilidade
Vulnerability Summary CVE-2007-5080 Original release date: 10/31/2007 Last revised: 11/1/2007
Source: US-CERT/NIST
Overview
Integer overflow in RealNetworks RealPlayer 10 and 10.5, RealOne Player 1, and RealPlayer Enterprise for Windows allows remote attackers to execute arbitrary code via a crafted Lyrics3 2.00 tag in an MP3 file, resulting in a heap-based buffer overflow.
Impact
CVSS Severity (version 2.0):
CVSS v2 Base score: 9.3 (High) (AV:N/AC:M/Au:N/C:C/I:C/A:C) (legend) Impact Subscore: 10.0
Exploitability Subscore: 8.6
Access Vector: Network exploitable , Victim must voluntarily interact with attack mechanism
Access Complexity: Medium
Impact Type: Allows unauthorized disclosure of information , Allows unauthorized modification , Allows disruption of service
Vendor Statements (disclaimer)
Official Statement from Red Hat (11/1/2007)
Not vulnerable. This issue did not affect the versions of RealPlayer as shipped with Red Hat Enterprise Linux 3 Extras, 4 Extras, or 5 Supplemen- tary.
References to Advisories, Solutions, and Tools
External Source: FRSIRT (disclaimer) Name: ADV-2007-3628
Type: Advisory , Patch Information
Hyperlink: http://www.frsirt.com/english/advisories/2007/3628
External Source: (disclaimer) Type: Patch Information
Hyperlink: http://service.real.com/realplayer/security/ 10252007_player/en/
External Source: SECUNIA (disclaimer) Name: 27361
Type: Advisory , Patch Information
Hyperlink: http://secunia.com/advisories/27361
External Source: XF (disclaimer) Name: realplayer-mp3-bo(37434)
Hyperlink: http://xforce.iss.net/xforce/xfdb/37434
External Source: SECTRACK (disclaimer) Name: 1018866
Hyperlink: http://www.securitytracker.com/id?1018866
External Source: BID (disclaimer) Name: 26214
Hyperlink: http://www.securityfocus.com/bid/26214
External Source: (disclaimer) Hyperlink:
http://www.ngssoftware.com/advisories/high-risk-vulnerability -in-real-player-id3-tags/
External Source: VIM (disclaimer)
Name: 20071030 RealPlayer Updates of October 25, 2007
Vulnerable software and versions
Configuration 1
RealNetworks, RealPlayer, 10.0, Unknown, Windows RealNetworks, RealPlayer, 10.5, 6.0.12.1040, Windows RealNetworks, RealPlayer, 10.5, 6.0.12.1578, Windows RealNetworks, RealPlayer, 10.5, 6.0.12.1698, Windows RealNetworks, RealPlayer, 10.5, 6.0.12.1741, Windows RealNetworks, RealOne Player, 1.0, Unknown, Windows, En RealNetworks, RealOne Player, 2.0, Unknown, Windows
RealNetworks, RealPlayer Enterprise, Unknown, Unknown, Windows, En
Technical Details
Vulnerability Type (View All) Numeric Errors (CWE-189)
CVE Standard Vulnerability Entry:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5080
Common Platform Enumeration:
http://nvd.nist.gov/cpe.cfm?cvename=CVE-2007-5080