CVE — Common Vulnerabilities and Exposures
CVE (Common Vulnerabilities and Exposures) je globšlne uznávaný systém na identifikáciu a pomenovanie zraniteľností kybernetickej bezpecnosti. Každý zranitelnost dostáva unikštne CVE-ID (napr. CVE-2024-3094), ktorý umošnuje bezpecnostňam tímom, výrobcom a regulštorom jednoznacne odkazovat na rovnak� zranitelnost. Podla EU Cyber Resilience Act je monitorovanie CVE nevyhnutný na splnenie 24-hodinovej povinnosti hlásenia zraniteľností agentúre ENISA.
Kľúčová fakty
| Detail | Informácia |
|---|---|
| Celý názov | Common Vulnerabilities and Exposures |
| Spravovaný | MITRE Corporation (USA, financovaňa CISA) |
| Formát ID | CVE-RRRR-NNNNN (rok + poradový číslo) |
| Celkovo publikovaných CVE | ~240 000+ (zaciatok 2026) |
| Nový CVE rocne | ~25 000š30 000 (akcelerujšce) |
| Verejný databšza | cve.org |
| Databšza obohatenia | NVD (National Vulnerability Database) — pridáva CVSS skóre, CPE zhody |
| EÚ ekvivalent | ENISA spravuje EÚ databšzu zraniteľností (nariadení NIS2) |
Ako CVE funguje
životný cyklus zranitelnosti
+----------------------------------------------------+
� 1. OBJAVENIE �
� Všskumňak / dodšvatel / útočník ňajde zraniteľností
+----------------------------------------------------+
?
+----------------------------------------------------+
� 2. PRIDELENIE CVE �
� CNA (CVE Numbering Authority) pridel� CVE-ID �
� Rezervovaňa, ale ešte nezverejneňa �
+----------------------------------------------------+
?
+----------------------------------------------------+
� 3. PUBLIKšCIA �
� CVE záznam publikovaný na cve.org �
� Obsahuje: popis, referencie, ovplyvnené produkty �
+----------------------------------------------------+
?
+----------------------------------------------------+
� 4. OBOHATENIE NVD �
� NVD prid�: CVSS skóre, CPE zhody, CWE kategšriu �
� Objavý sa v automatizovaných skenovacšch nástrojoch �
+----------------------------------------------------+
?
+----------------------------------------------------+
� 5. NšPRAVA �
� Dodšvatel vyd� záplatu / aktualizáciu firmvéru cez OTAž
� SBOM produktu aktualizovaný na opraveňa verzie �
+-----------------------------------------------------+Bodovanie zšvažnosti CVSS
Každý CVE dostáva CVSS (Common Vulnerability Scoring System) skóre:
| CVSS skóre | Zšvažnost | Príklad dopadu |
|---|---|---|
| 9,0€10,0 | Kritická | Vzdialený vykonanie kódu, úplný prevzatie zariadenia |
| 7,0š8,9 | Vysoká | Eskalšcia opršvneňa, obídenie autentifikšcie |
| 4,0š6,9 | Stredná | únik informácií, odopretie služby |
| 0,1š3,9 | Nízke | Meňa� únik informácií, teoretick� exploit |
Preco CVE záleží pre výrobcov hardvéru
Hlásenie zraniteľností podla CRA
CRA vytvára priemá prepojenie medzi monitorovaňam CVE a právnymi povinnostami:
| Požiadavka CRA | Prepojenie s CVE |
|---|---|
| 24-hodinový oznámenie ENISA | Spusteňa, ked CVE ovplyvňujúce vý produkt je aktívne exploitovaný |
| žiadne známe zranitelnosti pri dodaňa | Vžetky CVE zodpovedajšce komponentom výho SBOM musia byt záplatovaňa pred uvedeným na trh |
| 5-rocňa správa zraniteľností | Monitorovanie CVE musí pokracovat po celý dobu podpory produktu |
| OTA aktualizácie | Zšplaty spustenie CVE musia byt doruceňa do nasadených zariadení |
Spojenie SBOMšCVE
SBOM výho produktu je kľúčom k automatizovanýmu monitorovaniu CVE:
| Komponent SBOM | Príklad rizika CVE |
|---|---|
| FreeRTOS 10.4.3 | CVE-2021-31571 — pretecenie vyrovňavacej pamäťe v TCP/IP zšsobňaku |
| mbedTLS 2.28.0 | CVE-2023-43615 — obídenie overovania certifikátov |
| lwIP 2.1.3 | CVE-2023-36321 — odopretie služby cez deformovaňa paket |
| Linux kernel 5.15 | Stovky CVE rocne — priebežný monitorovanie nevyhnutný |
Automatizovaňa pipeline: SBOM ? CPE zhoda ? vyhladšvanie v databšze CVE ? filtrovanie podla zšvažnosti ? generovanie hlásenia ENISA ? nasadenie záplaty cez OTA. Presne toto poskytuje naža služba monitorovania SBOM.
Výzvy monitorovania CVE pre vstavaný produkty
| Všzva | Popis |
|---|---|
| Dlhý cykly nasadenia | IoT zariadenia nasadený 10€15 rokov; CVE sa hromadia |
| Obmedzená zdroje | Zariadenia nemusia mat —rku pásma/úložisko na cast� záplaty |
| Oneskorenie komponentov | Dodšvatelia vstavaných systémov casto používaj� staršie verzie open-source |
| Vlastná BSP | Board Support Packages od výrobcov kremíku má�u obsahovat nesledovaňa komponenty |
| Vnoreňa závislosti | Tranzitívne závislosti (závislosti závislostí) casto nie sú v SBOM |
Súvisiace pojmy
- SBOM — Inventár komponentov umošnujšci automatizovaný porovnávanie CVE.
- ENISA — Agentúra EÚ prijímajúca hlásenia o zranitelnostiach spustenie CVE.
- CRA — Nariadenie vyžadujúce monitorovanie CVE a správu zraniteľností.
- OTA aktualizácia — Dorucovac� mechanizmus bezpecnostňach záplat spusteniech CVE.