CVE(Common Vulnerabilities and Exposures) - 공통의 취약성들과 노출들
Common Vulnerabilities and Exposures (CVE) is a dictionary of standard terms related to security threats. These threats fall into two categories, known as vulnerabilities and exposures. A vulnerability is a fact about a computer, server or network that presents a definite, identifiable security risk in a certain context. An exposure is a security-related situation, event or fact that may be considered a vulnerability by some people but not by others.
Common Vulnerabilities and Exposures (CVE)는 보안 위협에 관련된 표준 용어 사전이다. 이러한 위협은 알려진 대로 취약성과 노출로 두 가지 범주로 분류된다. 취약성(Vulnerabilities)은 명확함을 제공하는 컴퓨터, 서버 또는 네트워크 대한 특정 상황에서 식별된 보안 위협에 대한 사실이다. 노출(Exposures)은 다른 사람들이 아닌 몇몇 사람들에 의해 취약성으로 간주된 사건 혹은 사실일 수 있는 보안과 관련된 상황이다.
CVE was developed and is maintained by the MITRE Corporation to facilitate the sharing of data among diverse security interests. It can simplify the process of searching for information in security-related databases and on the Internet. The dictionary is the product of collaboration among experts and representatives from security-related organizations worldwide.
CVE는 다양한 보안에 대한 이해와 데이터의 공유를 촉진하기 위해 MITRE Corporation에서 개발하였고 유지한다. 이는 인터넷에서 보안 관련 데이터베이스의 정보를 검색하는 과정을 단순화 할 수 있다. 이 사전(CVE를 말함)은 세계적인 보안 관련 기관의 전문가들과 담당자들 간의 협력의 산출물이다.
Items in CVE are given names according to the year of their formal inclusion and the order in which they were added to the list in that year. For example, CVE-2002-0250 refers to a specific Web-based configuration utility that may allow an unauthorized user to modify a system administrator's password. This item was added in the year 2002 and was given sequence number 250 for that year.
CVE의 항목들은 공식적으로 포함된 년도와 그 해에 추가된 리스트에 따라 이름이 지정된다. 예를 들어, CVE-2002-0250은 인증되지 않은 사용자가 시스템 관리자의 암호를 수정할 수 있는 특정 웹 기반을 구성하는 유틸리티를 의미한다. 이 항목은 2002년에 추가되었고 그 해 시퀀스 넘버(번호 순서)가 250번 이다.
At least two different definitions of security-related vulnerability exist. In its most often-used perspective, a vulnerability is an identifiable problem that can directly result in the compromise of a system in the short term. An example is a known security loophole in an operating system (OS) that has been exploited in real-world situations with adverse consequences. The less common definition of vulnerability refers to any factor that does not pose an imminent, direct security risk but can indirectly increase the risk in the long term. An example of this second definition is a high-speed Internet connection. It is easier to hack into a computer connected to the Internet through a cable modem with a downstream speed of 5 Mbps (megabits per second) and an upstream speed of 1 Mbps, than it is to hack into a computer working through a dial-up modem with downstream and upstream speeds of 56 Kbps (kilobits per second).
보안과 관련된 취약성은 적어도 두 가지 정의가 존재한다. 가장 자주 사용되는 관점에서, 취약성은 단기간에 시스템에 직접적인 손상을 발생시킬 수 있는 문제를 식별할 수 있다. 예를 들어 실상황에서 공격했었던 부정적인 결과로 운영체제 보안 허점으로 알려져있다. 취약점의 조금 적게 사용되는 관점에서 일반적인 정의는 어떤 요인이 직접적으로 보안 위협을 일으키지는 않지만, 간접적으로 오랜시간에 위협을 증가할 수 있다. 두번째 정의의 예는 고속 인터넷의 연결이다. 이는 업로드 속도와 다운로드 속도가 56 Kbps(초당 키로비트)인 전화회선 모뎀으로 작업하는 컴퓨터를 해킹하는 것 보다, 업로드 속도가 1Mbps이고 다운로드 속도가 5Mbps(초당 메가비트)인 케이블 모뎀으로 인터넷과 연결된 컴퓨터를 해킹하는 것이 더욱 쉽다.
According to the MITRE Corporation, the content of CVE should not depend on the perspective of the individual user. Any CVE entry that can be considered a vulnerability from all perspectives is known as a universal vulnerability. All other entries are categorized as exposures. An unpatched, previously exploited security loophole in an OS would constitute a universal vulnerability according to the CVE standard. A high-speed Internet connection would constitute an exposure.
MITRE Corporation에 따르면, CVE의 내용은 개별 사용자의 관점에 의존해서는 안된다고 한다. 모든 관점에서 취약성으로 고려한 CVE 항목은 보편적인 취약점으로 알려져있다. 그 외 다른 항목은 노출(exposures)로 분류된다. 패치 이전에 운영체제의 보안 허점을 이용한 공격은 CVE 표준에 따라 보편적인 취약성으로 간주한다. 고속 인터넷 연결은 노출(exposure)로 구성한다.
This was last updated in January 2008
Posted by: Margaret Rouse
Reference
[1] : SearchFinancialSecurity, Common Vulnerabilities and Exposures(CVE)
'Information Security > Security Information' 카테고리의 다른 글
| PRES. Obama Meets with the CEOs for cyber attack threat (0) | 2013.03.15 |
|---|---|
| 악성코드? Malware? (0) | 2013.03.01 |
| 워터링 홀 공격 (Watering Hole Attack) (0) | 2013.02.28 |
| Backtrack -> Kali Linux (2) | 2013.02.06 |
| 멋진 한국의 해커 (2) | 2012.11.04 |
