CVE (Common Vulnerabilities and Exposures) — единая система идентификации публично известных уязвимостей в программном обеспечении и оборудовании. Каждой уязвимости присваивается уникальный идентификатор вида CVE-2024-12345. Система ведётся организацией MITRE при финансировании CISA (Агентство кибербезопасности и безопасности инфраструктуры США).
Как работает
При обнаружении уязвимости исследователь или вендор запрашивает CVE-номер у CNA (CVE Numbering Authority). Более 350 организаций являются CNA — включая Microsoft, Google, Red Hat, Canonical. После публикации CVE-запись включает: описание уязвимости, затронутые версии продукта, ссылки на патчи и источники.
CVSS (Common Vulnerability Scoring System) — метрика серьёзности от 0 до 10: None (0), Low (0.1–3.9), Medium (4.0–6.9), High (7.0–8.9), Critical (9.0–10.0). CVSS учитывает: вектор атаки (сеть/локально), сложность, требование привилегий, взаимодействие пользователя. CVSSv3.1 — актуальная версия.
NVD (National Vulnerability Database, nvd.nist.gov) — обогащённая база CVE с CVSS-оценками, CWE-классификацией и ссылками на патчи. CVEdetails.com — удобный поиск по продукту и версии.
История
CVE основана MITRE в 1999 году как ответ на разрозненность баз данных уязвимостей (каждый вендор называл одну уязвимость по-своему). Первые CVE-записи датированы 1999 годом. CVSS v1 введён в 2004 году. CVSS v3 — в 2015 году. По состоянию на 2024 год база содержит более 230 000 CVE-записей. Крупнейшие по CVSS: Log4Shell (CVE-2021-44228, CVSS 10.0), Shellshock (CVE-2014-6271, CVSS 9.8).
CVE в контексте хостинга
Для хостинг-специалиста важно отслеживать CVE в используемом ПО: ядро Linux (privileges escalation), nginx/Apache (RCE, path traversal), PHP (RCE, type juggling), OpenSSL (Heartbleed в 2014, Log4Shell в 2021). Подписка на рассылки: linux-kernel security, nginx security advisories, Debian/Ubuntu security DSA/USN.
CVSS (Common Vulnerability Scoring System) — числовая оценка критичности: 0-3.9 (Low), 4.0-6.9 (Medium), 7.0-8.9 (High), 9.0-10 (Critical). Critical CVE требует немедленного патчинга (в течение 24-48 часов). High CVE — в течение недели. Эксплойт-доступность (Exploit Code Maturity): если публичный PoC доступен — риск резко возрастает. Инструменты: OpenVAS/Greenbone для сканирования сервера на известные CVE, Lynis для аудита конфигурации.
На что обращать внимание
Для серверного ПО важно подписаться на CVE-рассылки используемых продуктов: Nginx, PHP, MySQL, WordPress. Большинство дистрибутивов Linux автоматически применяют security-обновления для CVE: apt install unattended-upgrades (Debian/Ubuntu). Для критических CVE (CVSS ≥ 9) обновление нужно применять немедленно — автоматизированные сканеры ищут уязвимые версии в течение часов после публикации CVE.
CVE в хостинге
Управление уязвимостями на VPS: регулярное обновление пакетов (apt update && apt upgrade или dnf update), мониторинг CVE для установленного ПО (nginx, OpenSSL, PHP). CVSS 9.0-10.0 (Critical) — патч в течение 24 часов. Heartbleed (CVE-2014-0160, CVSS 7.5) — уязвимость OpenSSL, раскрывала память сервера включая приватные ключи. Shellshock (CVE-2014-6271, CVSS 10.0) — произвольное выполнение кода через bash. WordPress: каждый устаревший плагин — потенциальный CVE-вектор. MySQL и Linux-ядро регулярно получают CVE-патчи. Инструменты: unattended-upgrades (Ubuntu) — автоматические security-обновления.