Her güvenlik açığı bir CVE alır mı?

Kamuya açıklanan güvenlik açıklarının çoğu, özellikle yaygın olarak kullanılan yazılımlarda CVE'ler alıyor. Özel uygulamalardaki, dahili sistemlerdeki güvenlik açıkları ve herhangi bir açıklama yapılmadan önce düzeltilen hatalar genellikle CVE almaz. Sistem, kamuoyunun dikkatine sunulanların çoğunu kapsıyor.

MITRE ve NVD arasındaki fark nedir?

MITRE (CVE.org), CVE listesini (tanımlayıcı ataması ve temel açıklama) tutar. NVD analiz ekler: CVSS puanlaması, etkilenen ürün haritalaması (CPE'ler), referanslar. Her ikisi de halka açıktır; araçlar genellikle her ikisini de tüketir.

Yüksek CVSS puanı her zaman işlem yapılabilir mi?

Mutlaka değil. Kullanmadığınız bir yazılımdaki CVSS 10'un sizin için hiçbir önemi yoktur. Aktif olarak istismar edilen bir CVSS 5, bilinen bir istismarı olmayan CVSS 9'dan daha acildir. CISA'nın KEV kataloğu, daha iyi önceliklendirme için ciddiyet ile istismar gerçeğini birleştirir.

Neden bazı CVE'ler ayrıntılar olmadan rezerve ediliyor?

Rezerve durumu, kimliğin tahsis edildiği ancak güvenlik açığının henüz kamuya açıklanmadığı anlamına gelir. Satıcılar, yama geliştirme döneminde güvenlik açıklarını dahili olarak tartışmak için kimlikleri ayırır ve açıklama gerçekleştiğinde girişi doldurur.

Yazılımımı etkileyen CVE'leri nasıl bulabilirim?

Satıcı güvenlik tavsiyeleri ilgili CVE'leri listeler. Nvd.nist.gov adresindeki NVD araması satıcıya/ürüne göre arama yapar. Snyk, GitHub Dependabot ve işletim sistemi paket yöneticileri gibi araçlar, bağımlılığa dayalı CVE takibini otomatik olarak yapar.

CVE Sistemi Açıklandı: Dünya Güvenlik Açıklarını Nasıl Takip Ediyor?

Duyduğunuz her güvenlik açığının (Heartbleed, Log4Shell, Spectre) bir CVE numarası vardır. Ortak Güvenlik Açıkları ve Etkilenmeler sistemi, yazılım kusurlarını izlemeye yönelik küresel adlandırma kuralıdır. CVE'lerin ne olduğunu, puanlamanın nasıl çalıştığını ve sistemin şu anda nerede sorun yaşadığını anlamak, bazı güvenlik açıklarının neden dikkat çektiğini açıklıyor.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

CVE (Ortak Güvenlik Açıkları ve Etkilenmeler), kamuya açıklanan yazılım güvenlik açıklarını adlandırmak ve izlemek için standartlaştırılmış bir sistemdir. Her giriş, CVE-2023-12345 (yıl + sıra numarası) gibi benzersiz bir tanımlayıcı alır; bu, araştırmacıların, satıcıların ve araçların sektördeki belirli hatalara net bir şekilde gönderme yapmasına olanak tanır.

Sistem nasıl çalışır

MITRE Corporation, CVE Programını ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) sağlanan finansmanla yürütmektedir. Temel akış:

A güvenlik açığı bulunur.
Buluş yapan, etkilenen satıcıya (veya CVE Numaralandırma Yetkilisi — CNA'ya) rapor verir.
CNA, bir CVE Kimliği atar.
Güvenlik açığı başlangıçta "ayrılmış" olarak işaretlendi; kimlik mevcut ancak ayrıntılar mevcut değil public.
Güvenlik açığı açıklandığında (yama mevcut olduğunda veya bazı son tarihler sona erdiğinde), giriş, açıklama ve referanslarla doldurulur.
Giriş, MITRE CVE listesine ve NIST tarafından sağlanan Ulusal Güvenlik Açığı Veritabanına (NVD) yayınlanır.

Yayınlanan CVE'lerin sayısı, 2010'da ~6.000/yıl'dan önemli ölçüde arttı. 2015 - 2024'te 25.000+/yıl.

CNA'lar: CVE Kimliklerini kim atayabilir

CVE Numaralandırma Yetkilileri, kendi kapsamları dahilinde CVE Kimlikleri atama yetkisine sahip kuruluşlardır. Örnekler:

Büyük satıcılar — Microsoft, Apple, Google, Oracle, Cisco, Red Hat — her biri kendi ürünleri için CVE'ler atar.
Açık kaynak koordinatörleri — Apache Software Foundation, GitHub Security Lab.
Sektöre özel — endüstriyel kontrol için ICS-CERT Systems.
Regional — Japonya için JPCERT/CC, Almanya için BSI.
MITRE'nin kendisi belirli bir CNA kapsamında olmayan güvenlik açıkları için.

2026 itibarıyla yaklaşık 350'den fazla CNA bulunmaktadır. Sistem merkezi olmayan bir yapıdadır; her CVE aynı incelemeden geçmez.

CVSS puanlaması

Ortak Güvenlik Açığı Puanlama Sistemi (CVSS), aşağıdakilere dayalı olarak 0-10 arası sayısal önem puanı sağlar:

Saldırı vektörü — Ağ, Bitişik Ağ, Yerel, Fiziksel
Saldırı karmaşıklığı — Düşük veya Yüksek
Gerekli ayrıcalıklar — Yok, Düşük, Yüksek
Kullanıcı etkileşimi — Yok, Gerekli
Scope — Değişmedi veya Değiştirildi (kullanım farklı bir güvenlik yetkilisini etkiler mi)
Gizlilik / Bütünlük / Kullanılabilirlik etkisi — Her biri için Yok, Düşük, Yüksek

Vektör dizisi bunların tümünü yakalar (örneğin, CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H = CVSS 9.8). Nihai puan şu şekilde sınıflandırılır:

0,0 — Yok
0,1-3,9 — Düşük
4,0-6,9 — Orta
7,0-8,9 — Yüksek
9,0-10,0 — Critical

CVSS 4.0 (2023'te yayınlandı) metrikleri hassaslaştırıyor. Pek çok araç hâlâ 3.1.

CVSS'nin yakalayamadığı şeyleri kullanıyor

Puan şunları yansıtmıyor:

Etkilenen yazılımın ne kadar yaygın olarak dağıtıldığı
Genel açıklardan yararlanmanın mevcut olup olmadığı
Güvenlik açığının aktif olarak kullanılıp kullanılmadığı istismar edilen
Herhangi bir kuruluş için spesifik iş etkisi

Önceliklendirme için CVSS başlangıç noktasıdır ancak yeterli değildir. CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğu, aktif olarak istismar edilen CVE'leri tanımlar; "tüm kritik CVE'lerden" daha eyleme geçirilebilir bir listedir.

2024'ün NVD sorunu

Geleneksel olarak CVE girişlerine analiz, CVSS puanlaması ve CPE eşlemeleri ekleyen NIST Ulusal Güvenlik Açığı Veri Tabanı, erken dönemde önemli ölçüde yavaşladı Bütçe ve personel sorunları nedeniyle 2024. Analiz edilmemiş CVE'lerin birikmiş yığınları binlerce kişiye ulaştı; NVD zenginleştirmesine dayalı alt araçlar ve yama yönetimi sistemleri bozuldu.

Kriz birden fazla tepkiye yol açtı: CVE.org kendi rolünü genişletti, Vulnrichment projesi eksik analizleri eklemeye çalıştı ve çeşitli kuruluşlar alternatif veritabanları oluşturdu. Durum kısmen düzeldi ancak merkezi altyapının kırılganlığı ortaya çıktı.

Ünlü CVE numaraları

CVE-2014-0160 — Heartbleed. OpenSSL belleğinin ifşa edilmesi.
CVE-2017-0144 — EternalBlue / WannaCry. Microsoft SMB güvenlik açığı toplu olarak kullanıldı ransomware.
CVE-2021-44228 — Log4Shell. Log4j JNDI enjeksiyonu. Kitlesel sömürü; CVSS 10.
CVE-2014-6271 — Shellshock. Bash ortam değişkeni ayrıştırma.
CVE-2023-23397 — Microsoft Outlook NTLM kimlik bilgileri sızıntısı. Rus tehdidi tarafından aktif istismar aktörler.
CVE-2024-3094 — XZ Arka kapıyı kullanır. 2024'teki çok yıllık sosyal mühendislik tedarik zinciri saldırısı.

CVE'ler sizin için ne anlama geliyor

Sıradan kullanıcılar için CVE numaraları görünür şurada:

İşletim sisteminiz, uygulamalarınız ve tarayıcınız için yama notları
Önemli güvenlik açıkları hakkında haberler
Satıcılardan güvenlik önerileri

Pratik çıkarım: Haberlerde duyduğunuz bir CVE'den bahsedildiğinde, yazılımınızın ilgili güncellemeye sahip olup olmadığını kontrol edin. "Güncelleme mevcut" çoğu kullanıcı için evrensel yanıttır; filo yönetiminden sorumlu olanların daha derin araştırma yapması gerekir.

Geliştiriciler ve güvenlik ekipleri için CVE takibi, KEV bilinçli önceliklendirme ve SBOM odaklı risk değerlendirmesi artık standart operasyonların bir parçasıdır.

Sık sorulan sorular

Her güvenlik açığı bir CVE alır mı?: Kamuya açıklanan güvenlik açıklarının çoğu, özellikle yaygın olarak kullanılan yazılımlarda CVE'ler alıyor. Özel uygulamalardaki, dahili sistemlerdeki güvenlik açıkları ve herhangi bir açıklama yapılmadan önce düzeltilen hatalar genellikle CVE almaz. Sistem, kamuoyunun dikkatine sunulanların çoğunu kapsıyor.
MITRE ve NVD arasındaki fark nedir?: MITRE (CVE.org), CVE listesini (tanımlayıcı ataması ve temel açıklama) tutar. NVD analiz ekler: CVSS puanlaması, etkilenen ürün haritalaması (CPE'ler), referanslar. Her ikisi de halka açıktır; araçlar genellikle her ikisini de tüketir.
Yüksek CVSS puanı her zaman işlem yapılabilir mi?: Mutlaka değil. Kullanmadığınız bir yazılımdaki CVSS 10'un sizin için hiçbir önemi yoktur. Aktif olarak istismar edilen bir CVSS 5, bilinen bir istismarı olmayan CVSS 9'dan daha acildir. CISA'nın KEV kataloğu, daha iyi önceliklendirme için ciddiyet ile istismar gerçeğini birleştirir.
Neden bazı CVE'ler ayrıntılar olmadan rezerve ediliyor?: Rezerve durumu, kimliğin tahsis edildiği ancak güvenlik açığının henüz kamuya açıklanmadığı anlamına gelir. Satıcılar, yama geliştirme döneminde güvenlik açıklarını dahili olarak tartışmak için kimlikleri ayırır ve açıklama gerçekleştiğinde girişi doldurur.
Yazılımımı etkileyen CVE'leri nasıl bulabilirim?: Satıcı güvenlik tavsiyeleri ilgili CVE'leri listeler. Nvd.nist.gov adresindeki NVD araması satıcıya/ürüne göre arama yapar. Snyk, GitHub Dependabot ve işletim sistemi paket yöneticileri gibi araçlar, bağımlılığa dayalı CVE takibini otomatik olarak yapar.