Katalog zranitelností byl v ohrožení
Se zkratkou CVE se v příspěvcích na našem webu setkáváte poměrně často. Pravidelně se objevuje v souvislosti s uvolňováním bezpečnostních aktualizací, které řeší známé bezpečnostní chyby. Zkratka pro anglický termín Common Vulnerabilities and Exposures se používá pro katalogizaci chyb například ve Windows, Androidu, ale systémech ze světa Apple.
Bezpečnostní experti používají databázi CVE k identifikaci a evidenci zranitelností a společnými silami pro ně hledají řešení. Registr spravuje nezisková společnost MITRE, nicméně peníze na její provoz pocházejí prostřednictvím agentury CISA (Cybersecurity and Infrastructure Security Agency) od amerického ministerstva vnitra. Je to dáno tím, že bezpečnostní zranitelnosti technického rázu byly považovány za hrozbu pro národní bezpečnost.
Mohlo by vás zajímat
Minulý týden proběhla internetem zpráva, že financování databáze CVE mělo být k 16. dubnu 2025 ukončeno. Informace serveru The Register, který se žhavou novinkou přišel, vyvolala v bezpečnostní komunitě značné obavy.
Americká vláda ale naštěstí v tomto případě zařadila zpátečku – alespoň tedy prozatím. Server Bleeping Computer následně informoval o prodloužení financovaní přinejmenším o 11 měsíců. Co se ale bude dít poté, to v tuto chvíli ještě není jasné. Nebyla to však jediná reakce. Ozvaly se i hlasy z Evropské komise.
Mohlo by vás zajímat
Co si Trump myslel?
Hlavní výhodou sdílené databáze CVE je jasná identifikace bezpečnostních zranitelností. Dotčené společnosti nemusejí na řešení problému pracovat izolovaně, anebo jej zcela ignorovat.
Například Google používá standard označení CVE k informování svých partnerů, kteří využívají ekosystém Android. Dodávky odpovídajících patchů pro smartphony jsou poté připravovány a doručovány na zařízení uživatelů bez zbytečných zdržení.
Když se ještě do poslední chvíle zdálo, že databáze CVE, která je pod kontrolou USA, bude zrušena, Evropská komise zveřejnila vlastní alternativu: databázi zranitelností Evropské unie, European Union Vulnerability Database. Na jejím vývoji se už předtím nějakou dobu pracovalo a mezitím proběhly i testovací fáze. Její spuštění by poté bylo přímou reakcí na zprávy o ukončení CVE. Webové stránky jsou však stále ve fázi beta testování.
Mohlo by vás zajímat
Postup americké vlády v této věci byl velmi kritizován. Bezpečnostní experti upozorňovali na skutečnost, že CVE je základním kamenem kybernetické bezpečnosti a jakékoliv výpadky v jejím fungování by mohly přinést nepřijatelné riziko pro infrastrukturu a bezpečnost nejen v USA. Na programu CVE je závislý globální průmysl.
Identifikační čísla CVE se přidělují už od roku 1999. V loňském roce bylo identifikováno 40 000 nových bezpečnostních zranitelností. Prozatím stále není jasné, jaký dopad by mělo případné zrušení financován CVE, které stále hrozí po uplynutí prodloužené finanční podpory. Problém zdá se nebyl vyřešen, jen o 11 měsíců odsunut.
Je možné, že se mezi technologickými giganty najde nový sponzor, nebo že globální korporace, jakými jsou Google anebo Microsoft, vytvoří vlastní databáze. To by ovšem mohlo vést k zatajování některých zranitelností.
Zdroj: The Register, Bleeping Computer
