https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Common_Vulnerabilities_and_ExposuresCommon Vulnerabilities and Exposures - Versionsgeschichte2026-05-31T12:55:28ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Common_Vulnerabilities_and_Exposures&diff=703008&oldid=previmported>Flominator: Gliederung, Zukunft2026-02-12T11:08:17Z<p>Gliederung, Zukunft</p>
<p><b>Neue Seite</b></p><div>[[Datei:Common Vulnerabilities and Exposures logo.svg|mini|Logo]]'''Common Vulnerabilities and Exposures''' ('''CVE'''&nbsp;– {{deS|Bekannte Schwachstellen und Anfälligkeiten}}) ist ein vom US-amerikanischen ''National Cybersecurity FFRDC'' betriebenes und von der [[Mitre Corporation]] gepflegtes System zur standardisierten Identifikation und Benennung von öffentlich bekannten [[Sicherheitslücke]]n und anderen Schwachstellen in Computersystemen. Ziel des CVE-Systems ist es, Mehrfachbenennungen derselben Gefahren durch verschiedene Unternehmen und Institutionen zu vermeiden. <br />
<br />
== Verfahren ==<br />
Eine bekannte Sicherheitslücke wird mit einer Nummer versehen, die aus dem Kürzel CVE, der Jahreszahl der Entdeckung des Problems sowie einer beliebigen fortlaufenden Nummer besteht (z.&nbsp;B. CVE-2020-1234). Dadurch wird eine eindeutige Identifizierung der Schwachstelle gewährleistet und ein reibungsloser Informationsaustausch zwischen den verschiedenen Datenbanken einzelner Hersteller ermöglicht.<br />
<br />
Die CVE-Nummern werden seit 1999 vergeben. Bis Ende 2013 waren die fortlaufenden Nummern eines Jahres immer vierstellig und wurden mit einer führenden Null angegeben, etwa CVE-1999-0012. Da dieses Format nicht mehr ausreichte, wurde es Anfang 2014 so angepasst, dass es beliebig viele Stellen zulässt, jedoch weiterhin mindestens vier Stellen benötigt.<ref>{{Internetquelle |url=https://cve.mitre.org/cve/identifiers/syntaxchange.html |titel=CVE - CVE ID Syntax Change (Archived) |abruf=2024-06-11}}</ref><br />
<br />
Die Verwaltung und Pflege der CVE-Liste erfolgt durch die [[Mitre Corporation]]<ref name=":0" /> in Zusammenarbeit mit den ''CVE Numbering Authorities'' (CNAs). CNAs umfassen Sicherheitsexperten, Bildungseinrichtungen, Regierungsbehörden und Hersteller von Sicherheitssoftware.<ref>{{Internetquelle |url=https://cve.mitre.org/cve/cna.html |titel=CVE - CVE Numbering Authorities |abruf=2024-06-11}}</ref> Diese CNAs sind für die Vergabe und Verwaltung von CVE-IDs verantwortlich und spielen eine wichtige Rolle bei der Aktualisierung und Pflege des CVE-Systems. Das Programm wird von der [[Cybersecurity and Infrastructure Security Agency]] (CISA) des US-Heimatschutzministeriums unterstützt.<ref name=":0">{{Internetquelle |url=https://www.cve.org/About/Overview |titel=About CVE - Overview |hrsg=[[Mitre Corporation]] |sprache=en |abruf=2024-06-11}}</ref><br />
<br />
== Europäische Alternativen ==<br />
Die Mitre Corporation gab am 15. April 2025 bekannt, dass die bisherige Förderung der US-Regierung zur Aufrechterhaltung des CVE-Systems zum 16. April 2025 auslaufe und nicht verlängert werde. Daher könne sie das System nicht über diesen Zeitraum hinaus betreiben.<ref>{{Internetquelle |autor=Ravie Lakshmanan |url=https://thehackernews.com/2025/04/us-govt-funding-for-mitres-cve-ends.html |titel=U.S. Govt. Funding for MITRE's CVE Ends April 16, Cybersecurity Community on Alert |werk=The Hacker News |datum=2025-04-16 |sprache=en |abruf=2025-04-29}}</ref> Unmittelbar vor Ablauf dieser Frist verlängerte CISA die Förderung um weitere elf Monate bis zum 15. März 2026.{{Zukunft|2026|03}}<br />
<br />
Daher betreibt das CERT in Luxemburg seit dem 7. Januar 2026 die EU-Schwachstellen-Datenbank db.gcve.eu als "Global CVE Allocation System" (GCVE) zur Schwachstellen-Veröffentlichung.<ref>{{Internetquelle |autor=Julia Mutzbauer |url=https://www.csoonline.com/article/4118661/neue-eu-schwachstellen-datenbank-gestartet.html |titel=Neue EU-Schwachstellen-Datenbank gestartet. |werk=CSO online |datum=2026-01-19 |sprache=de |abruf=2026-01-23}}</ref><br />
Anders als im CVE-System in den USA können verschiedene Stellen als GCVE Numbering Authority (GNA) Schwachstellen-Nummern vergeben. Diese sind wie CVE-IDs aufgebaut, ergänzt um eine ID der GNA, die die ID vergab.<br />
Zum Beispiel steht die "1" in GCVE-1-2023-40224 für CIRCL in Luxemburg als eine GNA. In den USA vergebene CVE-IDs sind einer GNA mit "0". So entspricht GCVE-0-2023-40224 der Schwachstelle CVE-2023-40224.<br />
Außerdem veröffentlichte die [[Agentur der Europäischen Union für Cybersicherheit]] (ENISA) die 2024 angekündigte ''European Vulnerability Database'' (EUVD) für Schwachstellen.<ref>{{Internetquelle |autor=Christopher Kunz |url=https://www.heise.de/news/Nach-drohendem-CVE-Aus-Schwachstellendatenbank-der-EU-geht-an-den-Start-10354324.html |titel=CVE-Aus abgewendet, Schwachstellendatenbank der EU geht an den Start |werk=[[heise online]] |datum=2025-04-17 |sprache=de |abruf=2025-04-18}}</ref><br />
<br />
== Siehe auch ==<br />
* [[Common Vulnerability Scoring System]] (CVSS)<br />
* [[Exploit]]<br />
<br />
== Weblinks ==<br />
* [https://cve.org/ cve.org]&nbsp;– Offizielle Webseite<br />
* [https://www.heise.de/hintergrund/Schubladen-fuer-Schwachstellen-Das-CVE-System-im-Ueberblick-4940478.html Olivia von Westernhagen: Schubladen für Schwachstellen: Das CVE-System im Überblick]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:IT-Sicherheit]]<br />
[[Kategorie:Sicherheitslücke]]</div>imported>Flominator