Quelle affirmation à propos des CVE (Common Vulnerabilities and Exposures) est inexacte ?
[A] Le programme CVE de MITRE consiste à enregistrer et publier sur le site cve.mitre.org une liste de vulnérabilités connues (CVE List)
[B] Les identifiants CVE sont uniques et attribués exclusivement par MITRE
[C] Les produits qui ne sont plus supportés par leur développeur (EOL products) peuvent tout de même obtenir un identifiant CVE.
[D] Les identifiants CVE ont une syntaxe du type CVE-AAAA-NNNN où AAAA est l’année de publication et NNNN un numéro identifiant unique constitué de 4 digits au minimum
Le programme CVE de MITRE lancé en 1999 consiste en effet à enregistrer et à publier une liste de vulnérabilités connues (CVE List) sur le site de MITRE (cve.mitre.org)
Les produits qui ne sont plus supportés peuvent obtenir un identifiant CVE mais dans ce cas, l’entrée dans la liste CVE doit préciser la mention « Unsupported When Assigned » ou la mention « EOL Product CVE »
Les identifiants CVE ont effectivement une syntaxe du type CVE-AAAA-NNNN où AAAA est l’année de publication et NNNN un numéro identifiant unique constitué de 4 digits au minimum
Un identifiant de vulnérabilité (CVE ID) est un numéro unique. A l’origine du programme CVE (1999), MITRE était le seul organisme habilité à délivrer les identifiants de vulnérabilité. Aujourd’hui ils sont généralement attribués par des partenaires du programme CVE appelés CNA (CVE Numbering Authority), MITRE pouvant toutefois continuer à attribuer des CVE ID directement. Au 1er juin 2023, on recensait 294 CNAs dans le monde dont 5 en France (Dassault Systèmes, IDEMIA, Schneider Electric, Thales Group et WPScan).
La seule affirmation inexacte est la proposition [B]
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
