CVE

title: "CVE"
date: 2023-10-10
source:
En sécurité informatique, que valent les identificateurs CVE et les évaluations CVSS ? - LinuxFr.org
author : Stéphane Bortzmeyer

Un CVE (« Common Vulnerabilities and Exposures ») est juste un identificateur (par exemple, CVE-2022-4269 désigne une faille de sécurité du noyau Linux permettant à un utilisateur de planter le système).

Ils permettent de référencer une faille de manière non ambigue et facilitent donc la communication. (« As-tu bien patché les noyaux contre CVE-2022-4269 ? ») Mais il est important de noter qu'ils ne constituent pas une évaluation de la faille ou de son importance

On notera qu'il n'existe pas de base unique d'information sur les CVE, il existe de nombreux sites, pas forcément à jour, ne donnant pas forcément beaucoup de détails.

CVSS (Common Vulnerability Scoring System) vise au contraire à fournir une évaluation de la faille. On voit tout de suite qu'on rentre dans un domaine bien plus délicat, où une certaine subjectivité est inévitable.

Le site relativement officiel des CVE,
L'article de Daniel Stenberg sur CVE-2020-19909 et sa suite,
Sa critique contre l'organisation NVD et ses évaluations,
PostgreSQL a râlé aussi,
Le site de CVSS,
Une analyse scientifique des incohérences dans l'attribution des CVSS.