Zum Inhalt springen

Common Vulnerabilities and Exposures

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 12. Februar 2026 um 11:08 Uhr durch imported>Flominator (Gliederung, Zukunft).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Datei:Common Vulnerabilities and Exposures logo.svg
Logo

Common Vulnerabilities and Exposures (CVE – {{Modul:Vorlage:lang}} Modul:Vorlage:lang:103: attempt to index field 'wikibase' (a nil value)) ist ein vom US-amerikanischen National Cybersecurity FFRDC betriebenes und von der Mitre Corporation gepflegtes System zur standardisierten Identifikation und Benennung von öffentlich bekannten Sicherheitslücken und anderen Schwachstellen in Computersystemen. Ziel des CVE-Systems ist es, Mehrfachbenennungen derselben Gefahren durch verschiedene Unternehmen und Institutionen zu vermeiden.

Verfahren

Eine bekannte Sicherheitslücke wird mit einer Nummer versehen, die aus dem Kürzel CVE, der Jahreszahl der Entdeckung des Problems sowie einer beliebigen fortlaufenden Nummer besteht (z. B. CVE-2020-1234). Dadurch wird eine eindeutige Identifizierung der Schwachstelle gewährleistet und ein reibungsloser Informationsaustausch zwischen den verschiedenen Datenbanken einzelner Hersteller ermöglicht.

Die CVE-Nummern werden seit 1999 vergeben. Bis Ende 2013 waren die fortlaufenden Nummern eines Jahres immer vierstellig und wurden mit einer führenden Null angegeben, etwa CVE-1999-0012. Da dieses Format nicht mehr ausreichte, wurde es Anfang 2014 so angepasst, dass es beliebig viele Stellen zulässt, jedoch weiterhin mindestens vier Stellen benötigt.<ref>CVE - CVE ID Syntax Change (Archived). Abgerufen am 11. Juni 2024.</ref>

Die Verwaltung und Pflege der CVE-Liste erfolgt durch die Mitre Corporation<ref name=":0" /> in Zusammenarbeit mit den CVE Numbering Authorities (CNAs). CNAs umfassen Sicherheitsexperten, Bildungseinrichtungen, Regierungsbehörden und Hersteller von Sicherheitssoftware.<ref>CVE - CVE Numbering Authorities. Abgerufen am 11. Juni 2024.</ref> Diese CNAs sind für die Vergabe und Verwaltung von CVE-IDs verantwortlich und spielen eine wichtige Rolle bei der Aktualisierung und Pflege des CVE-Systems. Das Programm wird von der Cybersecurity and Infrastructure Security Agency (CISA) des US-Heimatschutzministeriums unterstützt.<ref name=":0">About CVE - Overview. Mitre Corporation, abgerufen am 11. Juni 2024 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref>

Europäische Alternativen

Die Mitre Corporation gab am 15. April 2025 bekannt, dass die bisherige Förderung der US-Regierung zur Aufrechterhaltung des CVE-Systems zum 16. April 2025 auslaufe und nicht verlängert werde. Daher könne sie das System nicht über diesen Zeitraum hinaus betreiben.<ref>Ravie Lakshmanan: U.S. Govt. Funding for MITRE's CVE Ends April 16, Cybersecurity Community on Alert. In: The Hacker News. 16. April 2025, abgerufen am 29. April 2025 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).</ref> Unmittelbar vor Ablauf dieser Frist verlängerte CISA die Förderung um weitere elf Monate bis zum 15. März 2026.[veraltet] Die Kategorie:Wikipedia:Veraltet nach März 2026 existiert noch nicht. Lege sie mit folgendem Text {{Zukunftskategorie|2026|03}} an.

Daher betreibt das CERT in Luxemburg seit dem 7. Januar 2026 die EU-Schwachstellen-Datenbank db.gcve.eu als "Global CVE Allocation System" (GCVE) zur Schwachstellen-Veröffentlichung.<ref>Julia Mutzbauer: Neue EU-Schwachstellen-Datenbank gestartet. In: CSO online. 19. Januar 2026, abgerufen am 23. Januar 2026.</ref> Anders als im CVE-System in den USA können verschiedene Stellen als GCVE Numbering Authority (GNA) Schwachstellen-Nummern vergeben. Diese sind wie CVE-IDs aufgebaut, ergänzt um eine ID der GNA, die die ID vergab. Zum Beispiel steht die "1" in GCVE-1-2023-40224 für CIRCL in Luxemburg als eine GNA. In den USA vergebene CVE-IDs sind einer GNA mit "0". So entspricht GCVE-0-2023-40224 der Schwachstelle CVE-2023-40224. Außerdem veröffentlichte die Agentur der Europäischen Union für Cybersicherheit (ENISA) die 2024 angekündigte European Vulnerability Database (EUVD) für Schwachstellen.<ref>Christopher Kunz: CVE-Aus abgewendet, Schwachstellendatenbank der EU geht an den Start. In: heise online. 17. April 2025, abgerufen am 18. April 2025.</ref>

Siehe auch

Weblinks

Einzelnachweise

<references />

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Common_Vulnerabilities_and_Exposures&oldid=703008