ThaiCERT: Thai Computer Emergency Response Team ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย

กล่าวนำ

นับได้ว่าความเสี่ยงของช่องโหว่ (Vulnerability) ในระบบคอมพิวเตอร์ทั้งในซอร์ฟแวร์ หรือฮาร์ดแวร์เป็นสิ่งที่มีผลกระทบสำคัญต่อความมั่นคงปลอดภัยของระบบสารสนเทศในองค์กร หรือบริษัท การค้นพบช่องโหว่ใหม่ มักจะนำไปสู่การสร้างโปรแกรมเจาะระบบ (Exploit Code), ไวรัส/หนอนอินเทอร์เน็ต รวมทั้งมาลแวร์ จากผู้บุกรุก หากผู้ดูแลระบบสามารถรับทราบข่าวสารของช่องโหว่ และติดตั้งโปรแกรมซ่อมแซมช่องโหว่ไม่ทันยอมจะได้รับผลกระทบจากความเสี่ยงเหล่านี้แน่นอน โดยทั่วไปข่าวสารเกี่ยวกับช่องโหว่มักจะได้มาจาก เจ้าของผลิตภัณฑ์ หรือ เว็บไซต์ทางด้านความมั่นคงปลอดภัย [1] ผ่านอี-เมล์ หรือเว็บบอร์ด

เป็นที่เข้าใจว่าช่องโหว่แต่ละชนิดจะแตกต่างกันตาม ชื่อ/เวอร์ชัน/จุดโหว่ของการเขียนโปรแกรมในส่วนต่างๆ ของซอร์ฟแวร์ รวมทั้งระบบปฏิบัติการที่ซอร์ฟแวร์ทำงานอยู่ เช่น ช่องโหว่ของซอร์ฟแวร์ phpBB เวอร์ชันก่อนหน้า 2.0.10 ซึ่งเกิดจากการทำงานที่ผิดพลาดกับตัวแปรชื่อ "highlight" ในการตรวจสอบข้อมูลอินพุตเข้าสู่ระบบ ฟังก์ชันนี้เป็นส่วนหนึ่งของซอร์สโค้ด viewtopic.php ซึ่งช่องโหว่ชนิดนี้จะถูกเรียกชื่อที่แตกต่างกันโดยทาง CERT/CC เรียกช่องโหว่นี้ว่า "Exploitation of phpBB highlight parameter vulnerability" แต่ทาง SecurityFocus เรียกช่องโหว่นี้ว่า "PHPBB Viewtopic.PHP PHP Script Injection Vulnerability" เป็นต้น

จากแหล่งข้อมูลข่าวสารช่องโหว่ที่มากมาย และหลากหลาย อีกทั้งการเรียกชื่อของช่องโหว่ที่แตกต่างกันส่งผลให้เกิดความสับสนในการอ้างอิงถึงช่องโหว่แต่ละชนิด ในบทความนี้จะกล่าวถึงมาตรฐานการกำหนดชื่อของช่องโหว่ที่เรียกว่า Common Vulnerabilities and Exposures (CVE) Number

CVE คืออะไร

CVE คือ รายชื่อของช่องโหว่ที่เป็นมาตรฐานเดียวกันสำหรับอ้างอิงถึงช่องโหว่แต่ละชนิด เพื่อให้แหล่งข้อมูลด้านช่องโหว่, เจ้าของผลิตภัณฑ์ และผู้ใช้งานโปรแกรมสามารถเข้าใจได้ตรงกัน ดังตัวอย่างจากรูปข้างล่างที่อ้างอิงถึงการเรียกชื่อช่องโหว่ของ CGI phf ที่แตกต่างกันของแหล่งข้อมูลที่ต่างกัน

เว็บไซต์หลักของฐานข้อมูล CVE อยู่ที่ http://cve.mitre.org ชื่อของ CVE ประกอบด้วย ปีที่พบช่องโหว่ และลำดับของช่องโหว่ที่ได้รับ CVE ในปีนั้น เช่น CVE-1999-0065 เป็นต้น องค์ประกอบของ

• ชื่อและหมายเลข CVE
• รายละเอียดโดยย่อของช่องโหว่
• แหล่งข้อมูลอ้างอิง

กระบวนการออกหมายเลข CVE เริ่มต้นเมื่อมีข่าวการค้นพบช่องโหว่ใหม่เกิดขึ้น จะมีการให้หมายเลข CAN (CVE candidates) เพื่อรอการเห็นชอบจากกรรมการ Editorial Board Members (http://cve.mitre.org/board/boardmembers.html) หลังจากผ่านกรรมการนี้แล้วจะได้รับหมายเลข CVE ต่อไป

เว็บไซต์ของ CVE มีส่วนของการสืบค้นหาช่องโหว่ของซอฟต์แวร์ตามชื่อของซอฟต์แวร์ หรือหมายเลข CVE ได้ผ่าน url http://cve.mitre.org/cve/

นอกจากนี้ CVE ยังให้ผู้ใช้งานสามารถดาว์นโหลดฐานข้อมูลของ CVE ในรูปแบบต่างๆ เช่น XML, HTML, Text, Spreadsheet เป็นต้น ที่ url http://cve.mitre.org/cve/downloads/

สรุป

ฐานข้อมูลช่องโหว่ CVE ถือได้ว่าเป็นที่ยอมรับ และเป็นฐานข้อมูลที่มีประโยชน์ต่อผู้ใช้งานซอฟต์แวร์ ในการค้นหาช่องโหว่ของระบบ นอกจากข้อมูลเบื้องต้นของช่องโหว่แล้ว ฐานข้อมูล CVE ยังมีส่วนของลิงก์สำหรับหาข้อมูลเพิ่มเติม รวมทั้งวิธีการในการปิดช่องโหว่อีกด้วย ประโยชน์ที่เห็นได้ชัดเจนอีกสิ่งหนึ่งคือ CVE ถือเป็นฐานข้อมูลหลักสำหรับเครื่องมือทดสอบช่องโหว่ (Vulnerability Scanner)

เอกสารอ้างอิง

[1] เว็บไซต์รวบรวมข่าวสารช่องโหว่
BugTraq Mailling List: SecurityFocus
http://www.securityfocus.com/archive/1
Vulnerability Database: SecurityFocus
http://www.securityfocus.com/vulnerabilities
Advisory Database : Packet Strom
http://packetstormsecurity.nl/alladvisories/advisories/
CERT/CC Vulnerability Note Database
http://www.kb.cert.org/vuls
ThaiCERT Advisory
http://www.thaicert.org/advisory/cert.php
Secunia monitors vulnerabilities
http://secunia.com/
Microsoft Security Bulletin
http://www.microsoft.com/athome/security/update/bulletins/default.mspx
Red Hat Errata
http://rhn.redhat.com/errata/
Debian Security Advisory
http://www.debian.org/security/
FreeBSD Security Advisory
http://www.freebsd.org/security/
Security Advisory By Distro: LinuxSecurity
http://www.linuxsecurity.com/content/view/101887/154/