Nieuws

NCSC kan voortaan CVE-nummers aan kwetsbaarheden toekennen

donderdag 21 juli 2022, 09:38 door Redactie, 4 reacties

Het Nationaal Cyber Security Centrum (NCSC) kan voortaan zelfstandig CVE-nummers aan kwetsbaarheden toekennen. De overheidsinstantie is namelijk geautoriseerd als CVE Numbering Authority (CNA). In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst.

CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. CVE-nummers worden uitgegeven door een CNA. CNA's kunnen een CVE-nummer registreren voor een actueel beveiligingslek, maar het is ook mogelijk om een reeks van CVE-nummers te reserveren en die pas op een later moment te gebruiken.

Softwareleveranciers kunnen vaak zelf CVE-nummers toekennen aan hun eigen software. Leveranciers dat niet kunnen, kunnen nu worden bijgestaan door het NCSC. Ook voor kwetsbaarheden die het NCSC zelf vindt kan het CVE-nummers uitgeven. Begin dit jaar werd de Nederlandse vrijwilligersorganisatie DIVD (Dutch Institute for Vulnerability Disclosure) al een CVE Numbering Authority.

IPhones door kritieke kwetsbaarheid op afstand over te nemen

Economische Zaken onderzoekt verplicht IPv6-gebruik voor overheidsinstanties

Reacties (4)

21-07-2022, 09:51 door Anoniem

Op dit moment bij het NCSC: https://imgflip.com/i/6nfieu

21-07-2022, 12:52 door Anoniem

Er zijn ook leveranciers die zelf CNA zijn, en dan mogen alleen zij een CVE aanmaken voor hun eigen producten, en anderen niet meer. Dan heb je zo van die leveranciers die deze regel misbruiken om te voorkomen dat bepaalde kwetsbaarheden een CVE krijgen, zo houden ze dat geheim.

21-07-2022, 14:07 door Anoniem

Door Anoniem: Er zijn ook leveranciers die zelf CNA zijn, en dan mogen alleen zij een CVE aanmaken voor hun eigen producten, en anderen niet meer. Dan heb je zo van die leveranciers die deze regel misbruiken om te voorkomen dat bepaalde kwetsbaarheden een CVE krijgen, zo houden ze dat geheim.

Dat gaat niet helemaal op. Zie §3.3 van de CNA Rules - https://www.cve.org/ResourcesSupport/AllResources/CNARules#section_3-3_escalated_issues_rules

Parties who contend that a Root's child CNA is not in compliance with the CNA Rules (e.g., [...] refusing to assign a CVE ID to a vulnerability [...]) may contact the Root about the issue. The Root will then judge whether the report is accurate and take any necessary actions.

21-07-2022, 21:46 door Anoniem

NCSC heeft zelf nog niet in de gaten wat kritiek en wat belangrijk is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer