CVE � Common Vulnerabilities and Exposures
CVE (Common Vulnerabilities and Exposures) je glob�lne uzn�van� syst�m na identifik�ciu a pomenovanie zranitelnost� kybernetickej bezpecnosti. Ka�d� zranitelnost dost�va unik�tne CVE-ID (napr. CVE-2024-3094), ktor� umo�nuje bezpecnostn�m t�mom, v�robcom a regul�torom jednoznacne odkazovat na rovnak� zranitelnost. Podla EU Cyber Resilience Act je monitorovanie CVE nevyhnutn� na splnenie 24-hodinovej povinnosti hl�senia zranitelnost� agent�re ENISA.
Kl�cov� fakty
| Detail | Inform�cia |
|---|---|
| Cel� n�zov | Common Vulnerabilities and Exposures |
| Spravovan� | MITRE Corporation (USA, financovan� CISA) |
| Form�t ID | CVE-RRRR-NNNNN (rok + poradov� c�slo) |
| Celkovo publikovan�ch CVE | ~240 000+ (zaciatok 2026) |
| Nov� CVE rocne | ~25 000�30 000 (akceleruj�ce) |
| Verejn� datab�za | cve.org |
| Datab�za obohatenia | NVD (National Vulnerability Database) � prid�va CVSS sk�re, CPE zhody |
| E� ekvivalent | ENISA spravuje E� datab�zu zranitelnost� (nariaden� NIS2) |
Ako CVE funguje
�ivotn� cyklus zranitelnosti
+----------------------------------------------------+
� 1. OBJAVENIE �
� V�skumn�k / dod�vatel / �tocn�k n�jde zranitelnost�
+----------------------------------------------------+
?
+----------------------------------------------------+
� 2. PRIDELENIE CVE �
� CNA (CVE Numbering Authority) pridel� CVE-ID �
� Rezervovan�, ale e�te nezverejnen� �
+----------------------------------------------------+
?
+----------------------------------------------------+
� 3. PUBLIK�CIA �
� CVE z�znam publikovan� na cve.org �
� Obsahuje: popis, referencie, ovplyvnen� produkty �
+----------------------------------------------------+
?
+----------------------------------------------------+
� 4. OBOHATENIE NVD �
� NVD prid�: CVSS sk�re, CPE zhody, CWE kateg�riu �
� Objav� sa v automatizovan�ch skenovac�ch n�strojoch �
+----------------------------------------------------+
?
+----------------------------------------------------+
� 5. N�PRAVA �
� Dod�vatel vyd� z�platu / aktualiz�ciu firmv�ru cez OTA�
� SBOM produktu aktualizovan� na opraven� verzie �
+-----------------------------------------------------+Bodovanie z�va�nosti CVSS
Ka�d� CVE dost�va CVSS (Common Vulnerability Scoring System) sk�re:
| CVSS sk�re | Z�va�nost | Pr�klad dopadu |
|---|---|---|
| 9,0�10,0 | Kritick� | Vzdialen� vykonanie k�du, �pln� prevzatie zariadenia |
| 7,0�8,9 | Vysok� | Eskal�cia opr�vnen�, ob�denie autentifik�cie |
| 4,0�6,9 | Stredn� | �nik inform�ci�, odopretie slu�by |
| 0,1�3,9 | N�zke | Men�� �nik inform�ci�, teoretick� exploit |
Preco CVE z�le�� pre v�robcov hardv�ru
Hl�senie zranitelnost� podla CRA
CRA vytv�ra priem� prepojenie medzi monitorovan�m CVE a pr�vnymi povinnostami:
| Po�iadavka CRA | Prepojenie s CVE |
|---|---|
| 24-hodinov� ozn�menie ENISA | Spusten�, ked CVE ovplyvnuj�ce v� produkt je akt�vne exploitovan� |
| �iadne zn�me zranitelnosti pri dodan� | V�etky CVE zodpovedaj�ce komponentom v�ho SBOM musia byt z�platovan� pred uveden�m na trh |
| 5-rocn� spr�va zranitelnost� | Monitorovanie CVE mus� pokracovat po cel� dobu podpory produktu |
| OTA aktualiz�cie | Z�platy spusten� CVE musia byt dorucen� do nasaden�ch zariaden� |
Spojenie SBOM�CVE
SBOM v�ho produktu je kl�com k automatizovan�mu monitorovaniu CVE:
| Komponent SBOM | Pr�klad rizika CVE |
|---|---|
| FreeRTOS 10.4.3 | CVE-2021-31571 � pretecenie vyrovn�vacej pam�te v TCP/IP z�sobn�ku |
| mbedTLS 2.28.0 | CVE-2023-43615 � ob�denie overovania certifik�tov |
| lwIP 2.1.3 | CVE-2023-36321 � odopretie slu�by cez deformovan� paket |
| Linux kernel 5.15 | Stovky CVE rocne � priebe�n� monitorovanie nevyhnutn� |
Automatizovan� pipeline: SBOM ? CPE zhoda ? vyhlad�vanie v datab�ze CVE ? filtrovanie podla z�va�nosti ? generovanie hl�senia ENISA ? nasadenie z�platy cez OTA. Presne toto poskytuje na�a slu�ba monitorovania SBOM.
V�zvy monitorovania CVE pre vstavan� produkty
| V�zva | Popis |
|---|---|
| Dlh� cykly nasadenia | IoT zariadenia nasaden� 10�15 rokov; CVE sa hromadia |
| Obmedzen� zdroje | Zariadenia nemusia mat ��rku p�sma/�lo�isko na cast� z�platy |
| Oneskorenie komponentov | Dod�vatelia vstavan�ch syst�mov casto pou��vaj� star�ie verzie open-source |
| Vlastn� BSP | Board Support Packages od v�robcov krem�ku m��u obsahovat nesledovan� komponenty |
| Vnoren� z�vislosti | Tranzit�vne z�vislosti (z�vislosti z�vislost�) casto nie s� v SBOM |
S�visiace pojmy
- SBOM � Invent�r komponentov umo�nuj�ci automatizovan� porovn�vanie CVE.
- ENISA � Agent�ra E� prij�maj�ca hl�senia o zranitelnostiach spusten� CVE.
- CRA � Nariadenie vy�aduj�ce monitorovanie CVE a spr�vu zranitelnost�.
- OTA aktualiz�cia � Dorucovac� mechanizmus bezpecnostn�ch z�plat spusten�ch CVE.