Bilan de la dernière synchronisation avec la base CVE
Date : 22 Juin 2005
Régulièrement, le consortium CVE publie une nouvelle version de sa base de vulnérabilités, avec, entre autres, le passage en "nomenclature finale (CVE-xxx)", des nomenclatures temporaires de type "CAN-xxx".
Le Cert-IST profite de cette occasion pour examiner sa couverture de failles (y a t’il un avis Cert-IST pour chaque référence CVE ?) et cet article vous présente les résultats de la dernière synchronisation.
La nouvelle version de la base CVE a été publiée le 2 avril 2003, avec 350 nouvelles entrées pour un total de 2573 entrées. Le Cert-IST a consolidé la base de ses avis grâce à cette mise à jour, et obtenu les résultats suivants.
Bilan sur 350 références CVE :
CATEGORIES | NOMBRES | POURCENTAGES |
Produits Non Significatifs pour le Cert-IST | 121 | 34,5% |
Références CVE déjà existantes | 2 | 0,6% |
Références CVE ajoutées aux avis | 77 | 22% |
Références CAN devenues références CVE | 70 | 20% |
Références CVE ayant fait l’objet d’un article bulletin | 55 | 15,8% |
Failles "classées" | 5 | 1,4% |
Failles qui seront inclues dans un précédent avis | 5 | 1,4% |
Failles "sans solution" | 8 | 2,3% |
Failles "loupées" qui feront l’objet d’un avis | 3 | 0,9% |
Failles à étudier | 4 | 1,1% |
Constat :
34,5% des références CVE sont considérées comme des produits non significatifs pour la communauté Cert-IST ; les avis relatifs à ces produits émanant d'organismes officiels sont tous référencés dans les bulletins mensuels dans la section "Failles n'ayant pas fait l'objet d'avis" comme dans ce bulletin.
Le total des références CVE nouvellement ajoutées aux avis Cert-IST et des références CAN devenues CVE (ainsi que les 2 références déjà existantes dans la base), produit un chiffre global de 42,6% des références CVE figurant dans la base du Cert-IST.
Certaines vulnérabilités sont considérées comme plus exotiques, elles font l'objet d'articles bulletin (15,8%), ou peuvent être qualifiées de complexes à mettre en œuvre et classées (1,4%). Cinq vulnérabilités (1,4%) seront rattachées à d’anciens avis Cert-IST car les vulnérabilités traitées sont similaires ; ces avis feront l’objet d’une mise à jour.
Les vulnérabilités ne possédant pas de solutions (correctifs, mises à jour, ou solutions palliatives…) n’ont pas fait l’objet d’avis de la part du Cert-IST, car la politique du Cert-IST consiste à vous présenter des solutions pour les vulnérabilités. Ainsi, nous préférons ne pas émettre d’avis pour des vulnérabilités ne pouvant pas être corrigées si le risque encouru nous paraît faible. Il y a 8 références CVE (2,3%) correspondant à des vulnérabilités sans solution.
Il n'y a donc qu'une faible minorité d'avis (0,9%) qui auraient dû faire l'objet d'avis de la part du Cert-IST, cette analyse de la nouvelle version CVE permettant de combler ces lacunes. Ainsi, trois avis seront prochainement émis.
Enfin, 4 références CVE sont encore à l’étude.
