Analyse de la dernière synchronisation des bases Cert-IST et CVE
Date : 30 Juin 2005
Régulièrement (tous les 6 mois environ), le consortium CVE publie une nouvelle version de sa base de vulnérabilités, avec entre autres le passage en "nomenclature finale (CVE.xxx)", des nomenclatures temporaires de type "CAN.xxx".
Le Cert-IST profite de cette occasion pour examiner sa couverture de failles et cet article vous présente les résultats de la dernière synchronisation.
La nouvelle version de la base CVE a été publiée le 9 mars 2002 , avec 428 nouvelles entrées. Le Cert-IST a consolidé la base de ses avis grâce à cette mise à jour, et obtenu les résultats suivants.
Bilan sur 227 références CVE :
CATEGORIES | NOMBRES | POURCENTAGES |
Produits Non Significatifs pour le Cert-IST | 94 | 41,5% |
Références CVE ajoutées aux avis | 58 | 25% |
Passage réference CAN -> CVE | 43 | 19% |
Article bulletin | 12 | 5,5% |
Failles "classées" | 11 | 5% |
Failles qualifiées de complexe à mettre en oeuvre | 4 | 2% |
Failles "loupées" devant faire l’objet d’un avis | 3 | 1% |
Failles "en attente" | 1 | 0,5% |
Failles à tester | 1 | 0,5% |
Constat :
41,5% des références CVE sont considérées comme des produits non significatifs pour la communauté Cert-IST ; les avis relatifs à ces produits émanant d'organismes officiels sont tous référencés dans les bulletins mensuels dans la section "Failles n'ayant pas fait l'objet d'avis" comme dans ce bulletin.
Si on ajoute les références CVE nouvellement ajoutées aux avis Cert-IST et les références CAN devenues CVE, on obtient un chiffre de 44% des références CVE figurant dans la base du Cert-IST.
Certaines vulnérabilités sont considérées comme plus exotiques, elles font l'objet d'articles bulletin (5,5%), ou peuvent être qualifiées de complexes à mettre en œuvre (2%) voire classées (5%).
Il n'y a donc qu'une faible minorité d'avis (1%) qui auraient dû faire l'objet d'avis de la part du Cert-IST, cette analyse de la nouvelle version CVE permettant de combler ces lacunes. Ainsi, trois avis ont été émis :
· L'avis CERT-IST/AV-2002.119, traitant de vulnérabilités sous le système IBM AIX 4.3, correspondant aux références CVE-2001-0487 et CVE-2001-0573.
- L'avis CERT-IST/AV-2002.132, traitant d'une vulnérabilité dans Apple MacOS 10.0 et 10.1, correspondant à la référence CVE-2001-0806.
- L'avis CERT-IST/AV-2002.140, traitant d'une vulnérabilité sur Eudora 5.0.2, correspondant à la référence CVE-2001-0677 (faille testée par le Cert-IST).