Yaygın Güvenlik Açıkları ve Etkilenmeler

Yaygın Güvenlik Açıkları ve Etkilenmeler (CVE), kamuya açıklanmış bilgi güvenliği açıklarını sınıflandırmak ve kimliklendirmek için oluşturulmuş bir sözlük ve referans sistemidir. Bir CVE'den söz edildiğinde, kamuya açıklanmış bir zafiyete atanmış benzersiz CVE kimliği kastedilir.^[1]

CVE sistemi, MITRE tarafından işletilen Amerika İç Güvenlik Sistemleri Mühendisliği ve Geliştirme Enstitüsü (HSSEDI) bünyesinde yönetilmektedir. Finansmanı, ABD İç Güvenlik Bakanlığı'na bağlı Ulusal Siber Güvenlik Birimi tarafından sağlanmaktadır.^[2] Kamunun kullanımına ilk olarak Eylül 1999'da açılmıştır.^[3]

CVE tanımlayıcıları

MITRE dokümantasyonunda CVE tanımlayıcıları (ayrıca "CVE adı", "CVE numarası" veya "CVE-ID" olarak da kullanılır), kamuya açık şekilde yayımlanmış yazılım paketlerindeki bilgi güvenliği zafiyetlerinin referanslanmasında kullanılan benzersiz ve ortak kimlikler olarak tanımlanır. Tarihsel olarak CVE tanımlayıcıları önce "aday" (CAN-) statüsünde olur, daha sonra "kayıtlı" (CVE-) statüsüne yükseltilirdi, ancak bu uygulama 2005 yılında son bulmuştur.^[4]^[5] Bir zafiyete CVE numarası atanması, onun resmi bir CVE girdisi haline geleceğini garanti etmez. Örneğin güvenlik açığı niteliği taşımayan bir duruma yanlışlıkla CVE atanmış olabilir veya ilgili sorun zaten daha önceden farklı bir numarayla atanmış da olabilir. Eğer kriterler karşılanmıyorsa, MITRE veya bir CVE Numaralandırma Otoritesi (CNA) bu girdiyi 'REJECTED' durumuna alabilir.^[4]

CVE'ler bir CVE Numaralandırma Otoritesi (CNA) tarafından atanır.^[6] Geçmişte farklı sağlayıcılar bu rolü üstlenmiş olsa da, CNA adı ve rolü resmi olarak 1 Şubat 2005'te tanımlanmıştır.^[7] CVE numarası atayabilen dört temel rol bulunmaktadır:

MITRE, Editör ve Birincil CNA olarak görev yapar.
Çeşitli CNA'lar, kendi ürünleri için CVE numarası atar (örneğin Microsoft, Oracle, HP)
CERT/CC gibi üçüncü taraf koordinatörler, diğer CNA'ların kapsamadığı ürünler için CVE numarası atayabilir
Bazı durumlarda bireysel araştırmacılara da CNA rolü verilmiştir.^[8]

Bir zafiyet veya "potansiyel" bir zafiyet araştırılırken, CVE numarasının erken aşamada atanması fayda sağlar. Zafiyetin henüz kamuoyuyla paylaşılmamış olması ya da MITRE'nin insan kaynağı sınırlamaları nedeniyle ilgili girdinin henüz yazılmamış olması gibi nedenlerle, CVE numaraları MITRE veya NVD veritabanlarında hemen görünmeyebilir. Bu görünme süresi kimi zaman günler, aylar hatta yıllar sürebilir. Erken CVE adaylığının faydası, ilerleyen süreçteki yazışma ve koordinasyonda tüm tarafların aynı CVE numarasına atıf yapabilmesi ve böylece aynı zafiyetten söz ettiklerinin garanti altına alınabilmesidir.

Açık kaynak projeler için CVE tanımlayıcısı edinmeye ilişkin bilgiler Red Hat^[9] ve GitHub^[10] tarafından sağlanmaktadır.

CVE'ler kamunun kullanımına sunulmuş yazılımlar içindir, eğer çok sayıda kişi tarafından kullanılıyorsa, buna beta ve erken erişim sürümler de dahil edilebilir. Ticari yazılımlar da "kamunun kullanımına sunulmuş" kategorisine dahildir; ancak özel kullanım için tasarlanmış, dağıtılmamış uygulamalar CVE tanımlayıcısı almaz.

CVE sisteminin ilk yıllarında dijital hizmetlerde (örneğin web tabanlı bir mail sağlayıcısı) bir zafiyet tespit edildiğinde (örneğin bir XSS açığı) bu zafiyet dağıtımda olan bir yazılım ürününde de tespit edilmediği sürece CVE atanmazdı. Ancak bulut hizmetlerinin ve web tabanlı platformların yaygınlaşmasıyla birlikte, bu konuya dair resmi kısıtlamalar ve kurallar henüz bulunmamakla beraber, başta MITRE olmak üzere bazı CNA'lar hizmet tabanlı sistemlere CVE numarası atamaya başlamıştır.^[11]

Kaynakça

^ "What is a CVE?". Red Hat. 4 Eylül 2024. Erişim tarihi: 29 Kasım 2025.
^ "CVE – Common Vulnerabilities and Exposures". MITRE. 3 Temmuz 2007. 19 Aralık 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Haziran 2009. CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.
^ "CVE - History". cve.mitre.org. 8 Ocak 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Mart 2020.
^ ^a ^b "CVE - Frequently Asked Questions". cve.mitre.org. 10 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 1 Eylül 2021.
^ Kouns, Jake (13 Ağustos 2009). "Reviewing(4) CVE". OSVDB: Everything is Vulnerable. 1 Eylül 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 1 Eylül 2021.
^ "CVE - CVE Numbering Authorities". MITRE. 1 Şubat 2015. Erişim tarihi: 5 Mart 2024.
^ "CVE - CVE Blog "Our CVE Story: Ancient History of the CVE Program – Did the Microsoft Security Response Center have Precognition?" (guest author)". cve.mitre.org. Erişim tarihi: 17 Eylül 2021.
^ "CVE - CVE Blog "My CVE Story: How I Became the CVE Program's First Vulnerability Researcher CNA" (guest author)". 15 Mart 2021. 15 Mart 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Nisan 2025.
^ "CVE OpenSource Request HOWTO". Red Hat. 14 Kasım 2016. Erişim tarihi: 29 Mayıs 2019. There are several ways to make a request depending on what your requirements are:
^ "About GitHub Security Advisories". GitHub. 23 Aralık 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Aralık 2021. GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list
^ "CVE-2000-0081". MITRE. 25 Ocak 2000. 3 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Kasım 2025.

Dış bağlantılar

[1] "What is a CVE?". Red Hat. 4 Eylül 2024. Erişim tarihi: 29 Kasım 2025.

[2] "CVE – Common Vulnerabilities and Exposures". MITRE. 3 Temmuz 2007. 19 Aralık 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Haziran 2009. CVE is sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security.

[3] "CVE - History". cve.mitre.org. 8 Ocak 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 25 Mart 2020.

[:0-4] "CVE - Frequently Asked Questions". cve.mitre.org. 10 Nisan 2018 tarihinde kaynağından arşivlendi. Erişim tarihi: 1 Eylül 2021.

[5] Kouns, Jake (13 Ağustos 2009). "Reviewing(4) CVE". OSVDB: Everything is Vulnerable. 1 Eylül 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 1 Eylül 2021.

[6] "CVE - CVE Numbering Authorities". MITRE. 1 Şubat 2015. Erişim tarihi: 5 Mart 2024.

[7] "CVE - CVE Blog "Our CVE Story: Ancient History of the CVE Program – Did the Microsoft Security Response Center have Precognition?" (guest author)". cve.mitre.org. Erişim tarihi: 17 Eylül 2021.

[8] "CVE - CVE Blog "My CVE Story: How I Became the CVE Program's First Vulnerability Researcher CNA" (guest author)". 15 Mart 2021. 15 Mart 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Nisan 2025.

[9] "CVE OpenSource Request HOWTO". Red Hat. 14 Kasım 2016. Erişim tarihi: 29 Mayıs 2019. There are several ways to make a request depending on what your requirements are:

[10] "About GitHub Security Advisories". GitHub. 23 Aralık 2021 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Aralık 2021. GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list

[11] "CVE-2000-0081". MITRE. 25 Ocak 2000. 3 Aralık 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 29 Kasım 2025.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]