Vous êtes sur le site public du Cert-IST
Résultats de la synchronisation des bases Cert-IST et CVE

Date :20 Juin 2005

Publication: Article

Régulièrement, le consortium CVE ("Common Vulnerabilities and Exposures" - http://cve.mitre.org/ ) publie une nouvelle version de sa base de vulnérabilités, avec, entre autres, le passage en "nomenclature finale (CVE-xxx)", des nomenclatures temporaires de type "CAN-xxx".

Le Cert-IST profite de cette occasion pour examiner sa couverture de failles (y a-t’il un avis Cert-IST pour chaque référence CVE ?). Cet article vous présente les résultats de la dernière synchronisation.

La nouvelle version de la base CVE a été publiée le 1er septembre 2004, avec 480 nouvelles entrées pour un total de 3053 entrées. Le Cert-IST a consolidé la base de ses avis grâce à cette mise à jour, et obtenu les résultats suivants.

Bilan sur 480 nouvelles références CVE :

CATEGORIES

NOMBRES

POURCENTAGES

Produits Non Significatifs pour le Cert-IST

124

26%

Références CVE déjà existantes

5

1%

Références CVE ajoutées aux avis

59

12%

Références CAN devenues références CVE

150

31,5%

Références CVE ayant fait l’objet d’un article bulletin

96

20%

Failles "classées" (jugées non significatives)

9

2%

Failles mineures "sans solution"

21

4,5%

Failles "non détectées" (qui auraient pu faire l'objet d'avis)

16

3%

Constat :

26% des références CVE sont considérées comme des produits non significatifs pour la communauté Cert-IST ; les avis relatifs à ces produits émanant d'organismes officiels sont tous référencés dans les bulletins mensuels dans la section "Failles n'ayant pas fait l'objet d'avis" comme dans ce bulletin.

Le total des références CVE nouvellement ajoutées aux avis Cert-IST et des références CAN devenues CVE (ainsi que les 5 références déjà existantes dans la base), produit un chiffre global de 44,6% des références CVE figurant dans la base du Cert-IST.

Certaines vulnérabilités sont considérées comme plus exotiques, elles font l'objet d'articles bulletin (20%), ou peuvent être qualifiées de complexes à mettre en œuvre et classées (2%).

Les vulnérabilités ne possédant pas de solutions (correctifs, mises à jour, ou solutions palliatives…) n’ont pas fait l’objet d’avis de la part du Cert-IST, car la politique du Cert-IST consiste à vous présenter au moins une solution pour chaque vulnérabilité détecté. Ainsi, nous préférons ne pas émettre d’avis pour des vulnérabilités ne pouvant pas être corrigées si le risque encouru nous paraît faible. Il y a 21 références CVE (4,5%) correspondant à des vulnérabilités sans solution.

Il n'y a donc qu'une faible minorité d'avis (3%) qui auraient pu faire l'objet d'avis de la part du Cert-IST. Le suivi systématique des nouvelles versions de la base CVE a pour but aussi d'identifier (et de rattraper) ces failles "non détectées" lors de la veille journalière. En l'occurrence l'analyse technique de ces failles nous a permis de conclure qu'il n'était pas nécessaire d'émettre d'avis Cert-IST sur ces failles car elles correspondent :

  • Soit à des failles anciennes et donc antérieures à l’introduction de CVE par le Cert-IST 

  • Soit à des failles corrigées "silencieusement" par les constructeurs qu'il n'est donc pas possible de rattacher formellement à un avis de sécurité Cert-IST (puisque le constructeur n'a pas annoncé explicitement que cette faille avait été prise en compte).