CVE — Common Vulnerabilities and Exposures
CVE (Common Vulnerabilities and Exposures) je globálne uznávaný systém na identifikáciu a pomenovanie zraniteľností kybernetickej bezpečnosti. Každá zraniteľnosť dostáva unikátne CVE-ID (napr. CVE-2024-3094), ktoré umožňuje bezpečnostným tímom, výrobcom a regulátorom jednoznačne odkazovať na rovnakú zraniteľnosť. Podľa EU Cyber Resilience Act je monitorovanie CVE nevyhnutné na splnenie 24-hodinovej povinnosti hlásenia zraniteľností agentúre ENISA.
Kľúčové fakty
| Detail | Informácia |
|---|---|
| Celý názov | Common Vulnerabilities and Exposures |
| Spravované | MITRE Corporation (USA, financované CISA) |
| Formát ID | CVE-RRRR-NNNNN (rok + poradové číslo) |
| Celkovo publikovaných CVE | ~240 000+ (začiatok 2026) |
| Nové CVE ročne | ~25 000–30 000 (akcelerujúce) |
| Verejná databáza | cve.org |
| Databáza obohatenia | NVD (National Vulnerability Database) — pridáva CVSS skóre, CPE zhody |
| EÚ ekvivalent | ENISA spravuje EÚ databázu zraniteľností (nariadená NIS2) |
Ako CVE funguje
Životný cyklus zraniteľnosti
┌────────────────────────────────────────────────────┐
│ 1. OBJAVENIE │
│ Výskumník / dodávateľ / útočník nájde zraniteľnosť│
└──────────────────┬─────────────────────────────────┘
▼
┌────────────────────────────────────────────────────┐
│ 2. PRIDELENIE CVE │
│ CNA (CVE Numbering Authority) pridelí CVE-ID │
│ Rezervované, ale ešte nezverejnené │
└──────────────────┬─────────────────────────────────┘
▼
┌────────────────────────────────────────────────────┐
│ 3. PUBLIKÁCIA │
│ CVE záznam publikovaný na cve.org │
│ Obsahuje: popis, referencie, ovplyvnené produkty │
└──────────────────┬─────────────────────────────────┘
▼
┌────────────────────────────────────────────────────┐
│ 4. OBOHATENIE NVD │
│ NVD pridá: CVSS skóre, CPE zhody, CWE kategóriu │
│ Objaví sa v automatizovaných skenovacích nástrojoch │
└──────────────────┬─────────────────────────────────┘
▼
┌────────────────────────────────────────────────────┐
│ 5. NÁPRAVA │
│ Dodávateľ vydá záplatu / aktualizáciu firmvéru cez OTA│
│ SBOM produktu aktualizovaný na opravené verzie │
└─────────────────────────────────────────────────────┘Bodovanie závažnosti CVSS
Každé CVE dostáva CVSS (Common Vulnerability Scoring System) skóre:
| CVSS skóre | Závažnosť | Príklad dopadu |
|---|---|---|
| 9,0–10,0 | Kritické | Vzdialené vykonanie kódu, úplné prevzatie zariadenia |
| 7,0–8,9 | Vysoké | Eskalácia oprávnení, obídenie autentifikácie |
| 4,0–6,9 | Stredné | Únik informácií, odopretie služby |
| 0,1–3,9 | Nízke | Menší únik informácií, teoretický exploit |
Prečo CVE záleží pre výrobcov hardvéru
Hlásenie zraniteľností podľa CRA
CRA vytvára priemé prepojenie medzi monitorovaním CVE a právnymi povinnosťami:
| Požiadavka CRA | Prepojenie s CVE |
|---|---|
| 24-hodinové oznámenie ENISA | Spustené, keď CVE ovplyvňujúce váš produkt je aktívne exploitované |
| Žiadne známe zraniteľnosti pri dodaní | Všetky CVE zodpovedajúce komponentom vášho SBOM musia byť záplatované pred uvedením na trh |
| 5-ročná správa zraniteľností | Monitorovanie CVE musí pokračovať po celú dobu podpory produktu |
| OTA aktualizácie | Záplaty spustené CVE musia byť doručené do nasadených zariadení |
Spojenie SBOM–CVE
SBOM vášho produktu je kľúčom k automatizovanému monitorovaniu CVE:
| Komponent SBOM | Príklad rizika CVE |
|---|---|
| FreeRTOS 10.4.3 | CVE-2021-31571 — pretečenie vyrovnávacej pamäte v TCP/IP zásobníku |
| mbedTLS 2.28.0 | CVE-2023-43615 — obídenie overovania certifikátov |
| lwIP 2.1.3 | CVE-2023-36321 — odopretie služby cez deformovaný paket |
| Linux kernel 5.15 | Stovky CVE ročne — priebežné monitorovanie nevyhnutné |
Automatizovaný pipeline: SBOM → CPE zhoda → vyhľadávanie v databáze CVE → filtrovanie podľa závažnosti → generovanie hlásenia ENISA → nasadenie záplaty cez OTA. Presne toto poskytuje naša služba monitorovania SBOM.
Výzvy monitorovania CVE pre vstavané produkty
| Výzva | Popis |
|---|---|
| Dlhé cykly nasadenia | IoT zariadenia nasadené 10–15 rokov; CVE sa hromadia |
| Obmedzené zdroje | Zariadenia nemusia mať šírku pásma/úložisko na časté záplaty |
| Oneskorenie komponentov | Dodávatelia vstavaných systémov často používajú staršie verzie open-source |
| Vlastný BSP | Board Support Packages od výrobcov kremíku môžu obsahovať nesledované komponenty |
| Vnorené závislosti | Tranzitívne závislosti (závislosti závislostí) často nie sú v SBOM |
Súvisiace pojmy
- SBOM — Inventár komponentov umožňujúci automatizované porovnávanie CVE.
- ENISA — Agentúra EÚ prijímajúca hlásenia o zraniteľnostiach spustené CVE.
- CRA — Nariadenie vyžadujúce monitorovanie CVE a správu zraniteľností.
- OTA aktualizácia — Doručovací mechanizmus bezpečnostných záplat spustených CVE.