- DHS की फंडिंग कॉन्ट्रैक्ट समाप्त होने के कारण MITRE का CVE प्रोग्राम 2025 अप्रैल 16 मध्यरात्रि को रुक सकता था, लेकिन CISA ने कॉन्ट्रैक्ट का option period लागू करके यह खालीपन टाल दिया
- सूत्रों के अनुसार विस्तार अवधि 11 महीने की है, और CISA CVE को साइबर कम्युनिटी की एक कोर सेवा और एजेंसी की प्राथमिकता मानता है
- CVE और CWE प्रोग्राम के संचालन के लिए incremental funding 16 अप्रैल की सुबह कन्फर्म हो गई, जिससे तय सेवा रुकावट टल गई
- CVE कमजोरी की पहचान और प्रबंधन का de facto standard है, और NVD·CISA vulnrichment·security vendor products·CERT·enterprise vulnerability databases जिस आधारभूत डेटा पर निर्भर हैं, वह यही है
- कॉन्ट्रैक्ट समाप्ति का कारण स्पष्ट नहीं है, और अगर वास्तव में रुकावट होती तो नए CVE records जोड़ना बंद हो जाता और मौजूदा records GitHub के जरिए उपलब्ध कराए जाते
CISA के आपातकालीन विस्तार से रुकावट टली
- MITRE का Common Vulnerabilities and Exposures, यानी CVE प्रोग्राम, DHS के साथ उसके कॉन्ट्रैक्ट के 2025 अप्रैल 16 मध्यरात्रि को समाप्त होने वाला था
- CISA ने कॉन्ट्रैक्ट का option period लागू किया, जिससे MITRE CVE प्रोग्राम की सेवा रुकावट नहीं हुई
- CISA ने कहा कि CVE साइबर कम्युनिटी के लिए बेहद महत्वपूर्ण है और एजेंसी की प्राथमिकता है
- उसका कहना है कि कोर CVE सेवाओं में कोई गैप न आए, इसलिए option period लागू किया गया
- सूत्रों के अनुसार कॉन्ट्रैक्ट विस्तार 11 महीने तक चलेगा
- MITRE के Yosry Barsoum ने कहा कि सरकारी कदम से CVE प्रोग्राम और Common Weakness Enumeration, यानी CWE प्रोग्राम, दोनों की रुकावट टल गई
- 2025 अप्रैल 16 सुबह तक CISA ने प्रोग्राम संचालन जारी रखने के लिए incremental funding की पुष्टि कर दी थी
- MITRE ने CVE और CWE को global resource के रूप में बनाए रखने की अपनी प्रतिबद्धता दोहराई
मूल रूप से तय कॉन्ट्रैक्ट समाप्ति और उसका असर
- 2025 अप्रैल 15 तक MITRE ने CVE Board को बताया था कि DHS के साथ कॉन्ट्रैक्ट समाप्त होने पर CVE database के रखरखाव की फंडिंग बंद हो जाएगी
- समाप्त होने वाले दायरे में MITRE द्वारा CVE प्रोग्राम का विकास, संचालन और modernization, साथ ही उससे जुड़ा CWE प्रोग्राम, शामिल था
- Rand Corporation के Sasha Romanosky ने CVE naming और software package·version के हिसाब से allocation को software vulnerability ecosystem की बुनियाद बताया
- CVE के बिना नई खोजी गई कमजोरियों को ट्रैक करना कठिन हो जाएगा
- severity scoring, exploit prediction और patch decision-making भी अस्थिर हो सकते हैं
- Bitsight के Ben Edwards ने कहा कि CVE ऐसा मूल्यवान resource है जिसे फंडिंग मिलनी ही चाहिए, और कॉन्ट्रैक्ट का renew न होना एक गलती है
- CVE के federated framework और openness की वजह से दूसरे stakeholders संचालन संभाल सकते हैं
- हालांकि, ऑपरेटर बदलने पर transition process कठिन हो सकती है
vulnerability ecosystem में CVE की भूमिका
- MITRE का CVE program global cybersecurity ecosystem का एक बुनियादी स्तंभ है और vulnerability identification तथा defenders के vulnerability management programs को दिशा देने वाला de facto standard है
- CVE data vulnerability management, cyber threat intelligence, security information, event management, endpoint detection·response जैसे क्षेत्रों के vendor products को base data उपलब्ध कराता है
- NIST, National Vulnerability Database, यानी NVD, के जरिए MITRE CVE records में अतिरिक्त जानकारी जोड़ता है
- CISA भी NVD प्रोग्राम की फंडिंग कमी के जवाब में vulnrichment प्रोग्राम के माध्यम से MITRE CVE records को समृद्ध करता रहा है
- MITRE, CVE records का मूल लेखक है और security flaw identification के लिए एक प्रमुख स्रोत की भूमिका निभाता है
रुकावट की स्थिति में अनुमानित श्रृंखलाबद्ध प्रभाव
- Security Errata प्रोजेक्ट के CSO और पूर्व CVE Board member Brian Martin का मानना है कि MITRE की फंडिंग खत्म होने पर global vulnerability management पर तुरंत श्रृंखलाबद्ध असर पड़ेगा
- federated model और CVE Numbering Authorities, यानी CNA, फिर IDs आवंटित करके जानकारी MITRE को भेजकर तेज़ी से प्रकाशित नहीं कर पाएंगे
- NVD, CVE पर आधारित है, और पहले से 30,000 से अधिक vulnerabilities के backlog तथा 80,000 से अधिक “deferred” items के बोझ से जूझ रहा है
- “deferred” का मतलब ऐसे items हैं जिनका फिलहाल पूर्ण विश्लेषण नहीं किया जाएगा
- अपनी vulnerability databases चलाने वाली कंपनियों को भी alternative intelligence sources खोजने पड़ सकते हैं
- चीन और रूस सहित देशों के vulnerability databases, दुनिया भर के सैकड़ों से हजारों national·regional CERT, और CVE/NVD पर निर्भर enterprise vulnerability management programs तक प्रभावित हो सकते हैं
कॉन्ट्रैक्ट समाप्ति के कारण और सरकारी बजट स्थिति
- DHS 25 साल से फंडिंग दे रहे CVE प्रोग्राम का कॉन्ट्रैक्ट खत्म क्यों करना चाहता था, यह स्पष्ट नहीं है
- ट्रंप प्रशासन Elon Musk की Department of Government Efficiency initiative के केंद्र में रखकर सरकारी खर्च में व्यापक कटौती करता रहा है
- DHS, CISA के जरिए MITRE CVE प्रोग्राम को फंड करता रहा है, और CISA पहले ही दो बार फंडिंग कटौती झेल चुका है
- रिपोर्ट्स के मुताबिक CISA कर्मचारियों के लगभग 40%, यानी करीब 1,300 लोग, अब भी छंटनी के दायरे में हैं
- सूत्रों का कहना है कि संघीय सरकार के दूसरे हिस्सों में हुई बजट कटौती की तुलना में CVE प्रोग्राम का संचालन खर्च छोटा है और “वित्तीय स्थिति को हिला देने” जितना बड़ा नहीं है
निजी विकल्प और अस्थायी प्रतिक्रिया
- अगर कॉन्ट्रैक्ट विस्तार नहीं होता, तो 2025 अप्रैल 16 मध्यरात्रि से MITRE CVE database में नए records जोड़ना बंद कर देता
- मौजूदा CVE records GitHub पर उपलब्ध कराए जाने थे
- VulnCheck के Patrick Garrity का मानना है कि NIST NVD की पिछले साल की विफलता के बाद vulnerability ecosystem और कमजोर हो गया है, और CVE प्रोग्राम पर असर defenders तथा security community के लिए हानिकारक हो सकता है
- MITRE या CVE प्रोग्राम की कौन-सी सेवाएँ प्रभावित होंगी, इस अनिश्चितता के बीच VulnCheck ने पहले से 2025 के लिए 1,000 CVE reserve कर लिए
- CISA ने कहा कि CVE का उपयोग सरकार और उद्योग तकनीकी vulnerabilities को disclose, classify और share करने के लिए करते हैं, और यह ऐसी vulnerability information से भी जुड़ा है जो राष्ट्रीय critical infrastructure को जोखिम में डाल सकती है
1 टिप्पणियां
Hacker News की टिप्पणियाँ
इससे जुड़ी चल रही threads हैं: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409
MITRE के साथ contract extend किया गया है: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
शायद यह अनिश्चितकालीन extension होगा। DOGE बेवकूफों का जमावड़ा हो सकता है, लेकिन पूरे DOD में सिर्फ बेवकूफ ही नहीं हैं
पता नहीं आपने ध्यान दिया या नहीं, लेकिन ये लोग zero-based budgeting के हिसाब से चलते हैं। पहले सब कुछ काटो, फिर जो सच में ज़रूरी लगे वही वापस जोड़ो। पहले काटो, बाद में सवाल पूछो
यह भी महत्वपूर्ण है कि MITRE एक DoD contractor है। CVE प्रोग्राम को अमेरिकी सैन्य funding पर चलने वाली कंपनी के हाथ में रखना, neutral और global trust पर टिके ecosystem में conflict of interest की चिंता पैदा कर सकता है
आजकल मैं मूल title के अंत में [fixed] जोड़कर readers को status change बताने की कोशिश कर रहा हूँ। नहीं जानता यह सबसे अच्छा तरीका है या नहीं, और यह भी पक्का नहीं कि मामला सच में सुलझा है, लेकिन कुछ न करने से बेहतर लगता है। मौजूदा thread की article और title बदल देना बहुत बड़ा backstab जैसा लग सकता है
contract आज expire होना था, लेकिन मार्च 2026 तक का option period था, और DHS को बस वह option exercise करना था
संशोधन: contract end date आज 16 अप्रैल है, इसलिए अगर option exercise नहीं किया गया होता, तो आज आधी रात को काम रुक गया होता। government contracts में ऐसी चीजें आख़िरी पल तक जाना आम है, और option exercise में देरी भी अक्सर होती है। लेकिन फिर इस मामले में ही इतना हंगामा क्यों हुआ? क्या CISA ने MITRE को संकेत दिया था कि वह option exercise नहीं करेगा?
काश यह स्थिति पैदा ही न होती। सोचता हूँ क्या DHS के भीतर किसी siloed structure की वजह से नुकसान को पर्याप्त बड़ा नहीं माना गया
इस क्षेत्र का शायद ही कोई expert ज़ोर देकर कहता कि “इसे बंद कर दो, इसकी ज़रूरत नहीं है।” अगर पूछा गया होता, तो वे ज़ोर से कहते, “कृपया इसे मत छुओ, इसकी ज़रूरत है”
हाँ, यह संभव लगता है कि ऊपर के finance executives ने “खुद जांच” करते हुए यह गलत समझ लिया हो कि दूसरे लोग CVE का इस्तेमाल कैसे करते हैं और funding कौन देता है
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
और इसके अलावा भी बहुत कुछ है। यह कई महीनों से पूरी तरह अव्यवस्थित रहा है, इसलिए इस बिंदु पर approach को तेज़ी से बदलने का विचार भी हो सकता है
यह सब मौजूदा शासन के आपराधिक कृत्य हैं
CVE बोर्ड के सदस्यों के एक गठबंधन ने “Common Vulnerabilities and Exposures (CVE) Program की दीर्घकालिक टिकाऊपन, स्थिरता और स्वतंत्रता सुनिश्चित करने” के लिए नई CVE Foundation शुरू की है
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
product vendors के पास CVE जारी करने की प्रक्रिया को अपने patch schedule के हिसाब से मोड़ने की प्रेरणा होती है, और security companies के पास CVE database तक प्राथमिक पहुंच पाकर प्रतिस्पर्धात्मक बढ़त लेने की प्रेरणा होती है
किसी commercial funding से चलने वाले संगठन के लिए ऐसे कब्ज़े से बचना असंभव तो नहीं है, लेकिन आसान भी नहीं है। इससे तुरंत Mozilla Foundation और Google का संबंध याद आता है
संपादन: चाहें तो मन भरकर downvote कर दें। हो सकता है मेरी भाषा बहुत कड़ी थी, इसलिए बात का सार धुंधला हो गया। यह दिलचस्प है कि security के गैर-विशेषज्ञ लोग नाम, उद्धरण और authority से कितनी आसानी से प्रभावित हो जाते हैं
भरोसा एक दिन में नहीं बनता, और सच कहें तो कभी पूरी तरह बनता भी नहीं। information security professionals ऐसी supply-chain bypass जैसी चीज़ पर, जिसका भविष्य अनिश्चित हो, आसानी से भरोसा नहीं करेंगे। उम्मीद है कि यह सोच जल्द परखी न जाए, लेकिन कुछ स्तर की reliability और long-term automation ज़रूरी है। ज़रूरत किसी “foundation” की नहीं, बल्कि एक technical और व्यापक सहमति वाले system की है
असली irony यह है कि बहुत से Y Combinator founders और HN readers उसी पक्ष में थे जिसने ठीक ऐसी स्थिति को संभव बनाया, और अब वे हैरान हैं कि साँप अपनी ही पूँछ क्यों खा रहा है
वे, या कम से कम उनमें से कुछ, यह मान सकते हैं कि इस फ़ंक्शन पर कब्ज़ा करके इससे पैसा कमाया जा सकता है। यह recurring revenue stream है, एक मूल्यवान subscription model है, और ग्राहकों को यह सेवा सचमुच चाहिए। अगर ज़रूरत न भी हो, तो IT security के नाम पर subscription अनिवार्य करने वाला नया कानून बना दिया जाएगा
वही दुनिया, जहाँ NOAA को तोड़ दिया गया है और climate change से और ताकतवर हुए super hurricanes की चेतावनी पाने के लिए आपको पैसे देने पड़ते हैं। वही climate change, जिसे इसी तरह के लापरवाह और बिना regulation वाले लालच ने पैदा किया है। अरबपति तो होने ही नहीं चाहिए, लेकिन करोड़पति भी नहीं
क्या मौजूदा CVE implementation में भी बड़ी समस्याएँ नहीं थीं? खासकर यह कि script kiddies और AI tools database को spam से भर रहे हैं, और security को गंभीरता से लेने वाले projects का दिए जाने वाले “score” पर लगभग कोई कहना नहीं है
score ज़्यादातर बेकार हैं, इसलिए अगर वे गायब हो जाएँ तो शायद मुझे परवाह नहीं होगी; सच कहूँ तो मैं उन्हें देखता भी नहीं। फिर भी, लोग इन घटिया scores पर इतना गुस्सा क्यों होते हैं, यह मुझे पूरी तरह समझ नहीं आता
अगर ऊँचे CVSS scores बहुत सारा काम पैदा कर रहे हैं, तो vulnerability management process ही टूटी हुई है। या फिर आप security नहीं, compliance का काम कर रहे हैं। अगर आपको compliance से नफ़रत है, तो CVSS scores उस पीड़ा की जड़ नहीं हैं
“एक central list जो उन चीज़ों को स्थिर ID देकर इकट्ठा करती है जिनकी आपको परवाह हो भी सकती है और नहीं भी” बहुत मूल्यवान है
फिर भी, score की समस्या पूरे CVE system को जला देने की अच्छी वजह नहीं है
“इसमें खामी है” से सीधे “तो इसे मार देते हैं” पर कूद जाना एक logical fallacy है। खामियों वाला security registry, किसी भी security registry के न होने से साफ तौर पर बेहतर है
अगर आपने open source software में CVE management किया है, तो आपको पहले से पता होगा कि NVD की funding में कटौती एक साल से अधिक समय से चल रही है
अप्रैल 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
NIST, National Vulnerability Database(NVD) को बनाए रखता है। यह राष्ट्रीय cybersecurity infrastructure का एक मुख्य हिस्सा है। software की बढ़ती संख्या, उसके साथ बढ़ती vulnerabilities, और संस्थाओं के बीच support में बदलाव के कारण vulnerabilities का backlog बढ़ रहा है। NVD को बेहतर बनाने के लिए industry, government, और अन्य stakeholder organizations के consortium जैसे long-term solutions पर भी विचार हो रहा है
सितंबर 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
“software में security और vulnerability handling लगातार अधिक महत्वपूर्ण होते जा रहे हैं। हाल की घटनाओं ने कई projects की issues की पहचान करने और समय पर उनके समाधान सुनिश्चित करने की क्षमता पर बुरा असर डाला है। यह बहुत चिंताजनक है। हाल तक हम अक्सर CVE project data पर नहीं, बल्कि उस जानकारी को जोड़ने वाले NVD data पर निर्भर रहे हैं।”
5 साल पहले 2019 में मैंने Carnegie Mellon के CERT Director की एक प्रस्तुति तैयार करने में मदद की थी, और तब भी CVE backlog और resources की कमी का मुद्दा था। रिपोर्ट की गई vulnerabilities में से काफी को CVE number तक नहीं मिला था। उसके बाद queue बढ़ती गई, funding घटती गई, लेकिन views सालाना औसतन 100 से भी कम थे: https://www.youtube.com/watch?v=WmC65VrnBPI
funding तो आज बंद हुई लगती है, और दोनों उद्धरणों से यही लगता है कि काम जारी है और वह महत्वपूर्ण है
क्या इसका मतलब है कि NVD पर किसी न किसी तरह का खतरा एक साल से अधिक समय से था? बस यह पक्का करना चाहता हूँ कि मैं सही समझ रहा हूँ
उसमें बस यह कहा गया है कि software vulnerabilities की संख्या इतनी बढ़ गई है कि CVE और NVD projects के लिए उसके साथ चलना मुश्किल हो गया है
इस thread में राजनीतिक spin फैलाना बंद होना चाहिए
समाज के लिए महत्वपूर्ण लेकिन जिनके अस्तित्व के बारे में भी ज़्यादातर लोगों को पता नहीं होता, ऐसी चीज़ों में से पिछले कुछ हफ्तों में और क्या चुपचाप गायब हो गया होगा, यह सोचकर हैरानी होती है
हमें यह मामला इसलिए पता चला क्योंकि हम जानते हैं कि यह महत्वपूर्ण है। जिन चीज़ों के बारे में हमें पता ही नहीं, वे क्या हैं?
मैं इसे जितना संभव हो उतनी सद्भावना के साथ समझने की कोशिश करूँ, फिर भी इसके लिए कोई non-malicious reason सच में सोच नहीं पा रहा
मौजूदा leadership को वे चीज़ें समझ नहीं आतीं जो चमकदार नहीं हैं। सोचता हूँ food safety को वे कब पीछे धकेलेंगे। RFK को शायद salmonella रोकने वाले कुछ vitamins के बारे में पता होगा
यह उन चीज़ों में से एक है जो सरकार public good के लिए करती है
या वे अपने ही alternative risk prioritization scores बेचना चाहते हैं। हर company NVD और CVE data का खुशी-खुशी उपयोग करती है, लेकिन competitors की मदद करने वाली subsidy देना नहीं चाहती। खासकर cybersecurity जैसे बेहद competitive industry में
MITRE Corporation और भी बहुत से काम करती है और उसका annual revenue 2.2 billion dollars लगता है
ट्रिलियन-dollar companies इस system से फ़ायदा उठाती हैं और योगदान भी देती हैं, तो क्या वे इस critical infrastructure के इस छोटे से हिस्से के लिए अपने revenue का लगभग 0.01% नहीं दे सकतीं?
steelmanning एक बेकार-सा नया शब्द है जिसका उपयोग in-group signaling के अलावा किसी काम का नहीं। इसी अवधारणा के लिए पहले से एक बेहतर, अधिक सूक्ष्म और ऐतिहासिक रूप से समृद्ध शब्द “charitability” मौजूद था
बड़ा फर्क यह है कि charitability सामने वाले का सम्मान करने से जुड़ा है। Steelmanning ज़्यादा इस बात के करीब है कि आप अपनी बुद्धिमत्ता से सामने वाले की दलील को उससे भी बेहतर बना दें
charitability आपसी सम्मान की अवधारणा पर आधारित है, इसलिए अगर यह साफ़ हो कि कोई मुझे ज़रा भी सम्मान नहीं देता, तो मैं उससे सद्भावना से क्यों पेश आऊँ, यह पूछना जायज़ है। Steelmanning व्यक्ति और उसके तर्क को अलग करने की कोशिश करता है, और विडंबना यह है कि यह अहंकारी भी है और भोला भी
मूल कारण: layer 8 outage
https://www.computerhope.com/jargon/l/layer8.htm