CVRF (Common Vulnerability Reporting Framework)
Date : 06 Juin 2011
Le 19 mai dernier, l'ICASI (Industry Consortium for the Advancement of Security on the Internet) a annoncé publiquement la sortie d'un nouveau standard dans le domaine de la sécurité : le standard CVRF (Common Vulnerability Reporting Framework). Ce standard, dont le groupe de travail est constitué de nombreux grands éditeurs (Cisco, Intel, IBM, Juniper Networks, Microsoft, Nokia, Oracle et Red Hat), a pour objectif de fournir un cadre pour la publication des différents documents relatifs à la sécurité (rapport de vulnérabilité, best practice, bulletins de sécurité, etc.).
Objectif de CVRF
A l'heure actuelle, chaque émetteur de documents de sécurité utilise son propre formalisme, ce qui présente plusieurs inconvénients. Tout d'abord, les utilisateurs de ces documents doivent en général les parcourir en totalité afin de trouver les informations qui concernent leur environnement. Ensuite, la structure de cette information étant le plus souvent linéaire, il n'est pas possible de l'utiliser dans des processus automatisés. L'objectif de CVRS est de définir un modèle basé sur XML et permettant de lister (de manière évolutive) les champs nécessaires à l'élaboration de tout document de sécurité. Pour rappel, le programme EISSP (European Information Security Protection Promotion), lancé en 2002 et auquel le Cert-IST a largement contribué, avait des objectifs similaires, notamment concernant l'utilisation d'un format commun pour l'évaluation des vulnérabilités.
L'exemple de la vulnérabilité CVE-2008-4609
Pour étayer le besoin de ce format commun, l'exemple de la vulnérabilité CVE-2008-4609 dans la gestion du protocole TCP/IP (CERT-IST/AV-2009.396, CERT-IST/AV-2009.400 et CERT-IST/AV-2009.409) affectant plusieurs implémentations de ce protocole, permet de se rendre compte de la diversité des formats utilisés par les éditeurs. Ces derniers utilisent en effet, pour des rapports pourtant similaires, des champs dont les noms et les formats diffèrent. Pour retrouver par exemple l'information relative aux systèmes impactés, le lecteur de ces documents devra les parcourir dans leur intégralité pour finalement retrouver cette information tantôt sous forme de liste, tantôt sous forme de texte, tantôt sous forme de table.
Solution proposée
A partir de ces différents formats, le groupe de travail chargé de l'élaboration de CVRF a construit un format XML pour ce standard (en version 1.0).
Le langage CVRF a été défini de manière à être le plus extensible possible.
Voici la liste des champs suivants obligatoires pour qu'un document puisse être reconnu comme un document CVRF :
Deux rôles contextuels sont en outre définis dans le cadre de CVRF : les producteurs de documents (éditeurs, CERTs, chercheurs en sécurité) et les consommateurs de documents (consultants sécurité, administrateurs).
CVRF et autres standards existants
Avant CVRF, de nombreux efforts de normalisation ont déjà été faits ces dernières années, dont le Cert-IST vous tient informés de manière très régulière. L'article intitulé "Standard pour la gestion des vulnérabilités", publié en mars 2007 présente un récapitulatif de ces différents standards.
CVRF s'inscrit en effet dans la lignée des normes CVE, CME et CVSS, déjà adoptées par le Cert-IST, et est dérivé du draft de l'IETF "Incident Object Description Exchange Format" (IODEF), publié en septembre 2006.
Bien que cela soit fortement recommandé, la version 1.0 de CVRF n'oblige pas les producteurs de documents à supporter les normes CVE, CPE et CWE (elles sont inclues de manière optionnelle à un document CVRF). Le support du langage OVAL est quant à lui prévu dans les versions futures de CVRF.
Conclusion
Le Cert-IST est très attentif quant à l'évolution de ce projet, en rapport direct avec son activité. Nous suivons donc l'évolution de cette initiative afin d'évaluer l'intérêt de l'intégrer à nos processus de traitement.
Pour plus d'information :
The Common Vulnerability Reporting Framework : http://www.icasi.org/docs/cvrf-whitepaper.pdf
Annonce ISS : http://blogs.iss.net/archive/CVRF_announced.html
Annonce de l'Internet Storm Center : http://isc.sans.org/diary.html?storyid=10900
Objectif de CVRF
A l'heure actuelle, chaque émetteur de documents de sécurité utilise son propre formalisme, ce qui présente plusieurs inconvénients. Tout d'abord, les utilisateurs de ces documents doivent en général les parcourir en totalité afin de trouver les informations qui concernent leur environnement. Ensuite, la structure de cette information étant le plus souvent linéaire, il n'est pas possible de l'utiliser dans des processus automatisés. L'objectif de CVRS est de définir un modèle basé sur XML et permettant de lister (de manière évolutive) les champs nécessaires à l'élaboration de tout document de sécurité. Pour rappel, le programme EISSP (European Information Security Protection Promotion), lancé en 2002 et auquel le Cert-IST a largement contribué, avait des objectifs similaires, notamment concernant l'utilisation d'un format commun pour l'évaluation des vulnérabilités.
L'exemple de la vulnérabilité CVE-2008-4609
Pour étayer le besoin de ce format commun, l'exemple de la vulnérabilité CVE-2008-4609 dans la gestion du protocole TCP/IP (CERT-IST/AV-2009.396, CERT-IST/AV-2009.400 et CERT-IST/AV-2009.409) affectant plusieurs implémentations de ce protocole, permet de se rendre compte de la diversité des formats utilisés par les éditeurs. Ces derniers utilisent en effet, pour des rapports pourtant similaires, des champs dont les noms et les formats diffèrent. Pour retrouver par exemple l'information relative aux systèmes impactés, le lecteur de ces documents devra les parcourir dans leur intégralité pour finalement retrouver cette information tantôt sous forme de liste, tantôt sous forme de texte, tantôt sous forme de table.
Solution proposée
A partir de ces différents formats, le groupe de travail chargé de l'élaboration de CVRF a construit un format XML pour ce standard (en version 1.0).
Le langage CVRF a été défini de manière à être le plus extensible possible.
Voici la liste des champs suivants obligatoires pour qu'un document puisse être reconnu comme un document CVRF :
- Titre du document
- Type de document
- Emetteur du document
- Autorité émettrice
- Identifiant du document
- Statut du document
- Version du document
- Historique de version du document
- Date initiale de publication du document
- Date de la version courante du document
- Générateur du document (version du schéma seulement)
Deux rôles contextuels sont en outre définis dans le cadre de CVRF : les producteurs de documents (éditeurs, CERTs, chercheurs en sécurité) et les consommateurs de documents (consultants sécurité, administrateurs).
CVRF et autres standards existants
Avant CVRF, de nombreux efforts de normalisation ont déjà été faits ces dernières années, dont le Cert-IST vous tient informés de manière très régulière. L'article intitulé "Standard pour la gestion des vulnérabilités", publié en mars 2007 présente un récapitulatif de ces différents standards.
CVRF s'inscrit en effet dans la lignée des normes CVE, CME et CVSS, déjà adoptées par le Cert-IST, et est dérivé du draft de l'IETF "Incident Object Description Exchange Format" (IODEF), publié en septembre 2006.
Bien que cela soit fortement recommandé, la version 1.0 de CVRF n'oblige pas les producteurs de documents à supporter les normes CVE, CPE et CWE (elles sont inclues de manière optionnelle à un document CVRF). Le support du langage OVAL est quant à lui prévu dans les versions futures de CVRF.
Conclusion
Le Cert-IST est très attentif quant à l'évolution de ce projet, en rapport direct avec son activité. Nous suivons donc l'évolution de cette initiative afin d'évaluer l'intérêt de l'intégrer à nos processus de traitement.
Pour plus d'information :
The Common Vulnerability Reporting Framework : http://www.icasi.org/docs/cvrf-whitepaper.pdf
Annonce ISS : http://blogs.iss.net/archive/CVRF_announced.html
Annonce de l'Internet Storm Center : http://isc.sans.org/diary.html?storyid=10900