Введение нового стандарта уязвимостей грозит опасностями

С января 2015 года MITRE переходит на новый формат CVE-ID, позволяющий использовать 5 и более цифр, сообщает «Лаборатория Касперского». Действующие с 1999 года четырехциферные идентификаторы уходят в историю, потому что не стали отвечать современным нуждам.

CVE (Common Vulnerabilities and Exposures) — это принятый стандарт именования уязвимостей, присутствующих в коммерческих и open-source программных продуктах. Исследователи используют эти понятные всем идентификаторы как рефереры, вендоры вставляют их в свои информационные бюллетени, другие выпускают продукты, направленные на четырехзначный формат, который, казалось, будет нескончаемым, так как при его принятии числилось, что больше 9999 уязвимостей в год не может быть найдено.

Но, по мнению профессионалов, в этом-то и кроется самая основная проблема: введение нового формата сведет на нет все усилия по управлению уязвимостями. «В некоторых случаях, если инструмент принимает только значения из 4 цифр, он может закончить работу при вводе идентификатора, нарушающего это условие, — объясняет ведущий ИБ-специалист MITRE и редактор CVE List Стив Коули (Steve Christey Coley). — Пятизначный идентификатор на входе может привести к отказу, потому что будет воспринят как некорректный».

В конечном итоге приметно вырастет число крэшей, но можно ждать и менее трагические отказы. Так, к примеру, инструменты управления уязвимостями могут досрочно окончить процесс, обработав четыре числа, и указать на совершенно иную уязвимость. «Пользователи в таком случае могут недооценить серьезность ситуации и проигнорировать предупреждение», — отмечает Коули, добавляя, что некоторые программы, выделяющие память только для четырехзначных идентификаторов, могут инициировать переполнение буфера.

По этой причине бизнес-структурам придется надеяться на оперативность вендоров, которые заблаговременно должны озаботиться поддержкой нового синтаксиса. В текущее время о своей готовности к нововведению заявили 19 организаций, в том числе Microsoft, Adobe, IBM, Oracle, NIST, CERT/CC, ICS-CERT и Symantec. Все же, сотни вендоров пока к этому не готовы, не говоря уже о тех предприятиях, которые используют собственные разработки, направленные на упраздняемый CVE-синтаксис.