[소프트웨어보안] Security advisories, CVE

---

Security advisories(어드버져리)

1. Security advisories(어드버져리)란?

- Security advisories는 소프트웨어 개발사(Vendor)에 의해  발표

- Public 공개 원칙, 초기단계에 공개대상 제한

- 사전 안내의 경우 : 큰 고객, 보안기업을 대상

  - 패치가 없는 상황이 있을 수 있다.

- 대중공개를 할 경우 패치 혹은 update가 존재

  - 소프트웨어 제공 회사와 공급 개발자 중심으로 구성함

- Advisories의 사용자는 SW의 User, 시스템관리자, 추가 개발자들 이 이용

 

- 각 개발사마다 자체 포맷이 있으나 공통적으로 지켜야 하는 최소한의 요구사항들이 있다.

1) 이름/날짜/구별을 위한 식별자

2) 위험도 (Criticality)

3) 영향을 받는 제품들

4) 대책

 

- 공개 시 고려사항

1) 악용하기에 충분한 정보는 제공하면 안 된다.

2) 공격자는 일단 공개가 되면 역공학을 통해 패치 및 update를 분석하므로 공개 시 신중해야 한다.

 

2. CVE-2013-6462 의 어드버져리 문서

 

 

 

 

- 해당 취약점이 발견된 것은 2013년도 말인데

이 어드버져리 문서가 나온 건 2014년이다.

 

 

 

 

 

---

CVE (Common Vul. And Exposures)

1. CVE란?

- CERT에 의해 1999년에 시작

- 취약점의 표준화된 식별(Identification)을 목표

  - Vendor 중심 자체 식별자 지정

  - 상호 의사소통의 어려움 해결

- (여전히) 각 Vendor 및 공급자들이 자신의 advisory 발표 가능

  - 단, CVE를 통해 상호참조

  - 사용자들은 CVE ID를 활용하여 취약점 추적

- MITRE(CVE를 관리하는 조직)가 현재 관리하며 지속적을 취약점 관리

- ITU-T에 의해 취약점 DB 표준을 추천됨

 

2. 취약점과 유출

1) 취약점(Vulnerabilities)

- 해커에 의해 이용될 수 있는 실수

- 시스템의 보안정책을 깨뜨리는 상황의 빌미가 되는 것

- 다른 사용자의 권한으로 명령실행

- 접근통제정책 위배(P. E., D. L.)

- DoS 공격 대상

 

2) 유출(Exposures)

- 시스템의 설정 문제나 소프트웨어상의  실수

- 중요한 공격을 수행하는데 활용 가능한 정보를  드러내는 상황

 

3. CVE Identifiers

 

- CVE ID(number) : CVE-2020-0340 (2020년에 340번째 발표된 취약점)

- CVE ID는 CVE의 가장 중요한 정보!

- 상호 운영성 또는 상호비교가능성의 표준

- 제품/서비스 모두에 적용

- MITRE의 인증제품생산 시 필수

- Tool 혹은 웹사이트의 요구 속성

  -CVE ID를 통해 검색이 가능해야 함

  - 표준 문서 포맷을 지켜야 함

 

* CVE ID를 정하는 과정

1) 잠재적 취약점 및 유출에 대한 발견

2) CVE 번호 부여를 위한 권한 요청

   - MITRE, IT분야 대기업 참여

   - 번호를 블록단위로 예약

3) CVE 번호를 공개그룹과 공유

4) Advisory 공개 (CVE ID를 포함)

5) MITRE는 추가된 CVE-ID를 master 리스트에 보관

 

4. NVD - CVE  정보를 제공하는 웹사이트

 

- 미국 정부에서 운영하고 있는 표준  기반의 취약점 정보

- 자동화된 취약점의 관리와 보안 측정 및 준법 적용이  가능하게 한다.

- 취약점을 구성하는 약점(Weakness)에 대한 정보 포함

- 취약점인 CVE는 여러 개의 CWE로 구성된다. 즉 모든 취약점은 약점들의 집합으로 표현이 가능!

 

---