Zurück zur Übersicht

Begriff

CVE (Common Vulnerabilities and Exposures)

Security Vulnerability Management S2
3 Quellen 0 Lernpfade 1 Backlink enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Software hat Fehler. Manche Fehler erlauben es Hackern, einzubrechen. Wenn so ein Fehler in einer bekannten Software (wie Windows, Chrome oder Log4j) gefunden wird, bekommt er einen Namen. Dieser Name ist die CVE-ID. Beispiel: CVE-2021-44228 (Log4Shell).

  • 2021: Das Jahr.
  • 44228: Eine laufende Nummer. Damit weiß jeder Admin auf der Welt genau: "Ah, diese Lücke meinst du." Es ist der globale Katalog für Sicherheitslücken.

Merksatz: Ein standardisiertes Referenzsystem (Liste) für öffentlich bekannte Cybersicherheitslücken, wobei jeder Eintrag eine eindeutige Kennung (CVE-ID) erhält.


Quick-Check

  1. Was ist ein Zero-Day?
    Eine Lücke, die Hackern bekannt ist, aber dem Hersteller noch nicht (0 Tage Zeit zum Fixen). Oft haben diese noch keine CVE-ID oder bekommen sie erst später.
  2. Muss ich CVEs mit Score "Low" patchen?
    Kommt auf deine Policy an. Oft reicht es beim nächsten regulären Update. Bei "Critical" und "High" gibt es meist SLAs (z. B. Fix innerhalb von 24h).
  3. Werden alle Lücken CVEs?
    Nein. Wenn ich eine Lücke auf deiner privaten Webseite finde, ist das keine CVE. CVEs sind für öffentlich verfügbare Software (Standardsoftware, Libraries).