Anmelden / Registrieren Konto
Jump to section

Was bedeutet CVE?

URL kopieren

CVE, kurz für Common Vulnerabilities and Exposures (Häufige Schwachstellen und Risiken), ist eine Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen. Mit CVE ist eine bestimmte Schwachstelle gemeint, der eine CVE-Nummer zugewiesen ist.

In Sicherheitshinweisen von Anbietern und Forschenden wird fast immer mindestens eine CVE-Nummer erwähnt. Mithilfe von CVEs können IT-Fachleute solche Schwachstellen leichter priorisieren und beheben, um Computersysteme sicherer zu machen.

CVE steht unter der Aufsicht der MITRE Corporation und wird von der Cybersecurity and Infrastructure Security Agency finanziert, die zum U.S. Department of Homeland Security gehört.

CVE-Einträge sind sehr kurz. Sie enthalten keinerlei technische Daten oder Infos zu Risiken, Auswirkungen und Fixes. Diese Details werden in anderen Datenbanken angezeigt, u. a. in der U.S. National Vulnerability Database (NVD), der CERT/CC Vulnerability Notes Database und in verschiedenen von Anbietern und anderen Organisationen gepflegten Listen. Inmitten dieser verschiedenen Systeme sorgen die CVE-Nummern dafür, dass Nutzer die Sicherheitsschwachstellen eindeutig voneinander unterscheiden können.

Über CVE-Nummern

CVE-Nummern werden von einer CVE Numbering Authority (CNA) zugewiesen. Es gibt ca. 100 CNAs, die wichtige IT-Anbieter sowie Sicherheitsfirmen und Forschungseinrichtungen umfassen. Außerdem können CVE-Nummern direkt von MITRE ausgegeben werden.

Den CNAs werden CVE-Nummernblöcke zugewiesen, die dann bei Bedarf neuen Schwachstellen zugeordnet werden können. Jedes Jahr werden Tausende von CVE-Nummern vergeben. Ein einzelnes komplexes Produkt wie ein Betriebssystem kann Hunderte von CVE-Nummern enthalten.

CVE-Meldungen können aus vielen Quellen stammen. So können Schwachstellen von Anbietern, Forschenden oder auch fachkundigen Nutzern entdeckt und gemeldet werden. Viele Anbieter vergeben sogenannte Bug-Prämien, um die Offenlegung von Sicherheitsproblemen zu fördern. Wenn Sie also eine Schwachstelle in Open Source-Software finden, sollten Sie diese der jeweiligen Community melden.

Auf diese Weise finden Infos zu Schwachstellen stets ihren Weg zu einer CNA. Die CNA wiederum weist diesen Daten eine CVE-Nummer zu und verfasst eine Kurzbeschreibung mit Referenzen. Danach wird der CVE-Eintrag auf der CVE-Website veröffentlicht.

Häufig werden CVE-Nummern vergeben, bevor ein Sicherheitshinweis veröffentlicht wird. Anbieter halten Sicherheitsschwachstellen außerdem oft geheim, bis Fixes entwickelt und getestet wurden. Auf diese Weise wird das Risiko einer Attacke auf Sicherheitsschwachstellen, die bis dato noch ohne Patch sind, verringert.

Sobald CVE-Einträge veröffentlicht wurden, werden ihnen CVE-Nummern (im Format CVE-2019-1234567) sowie eine kurze Beschreibung der Sicherheitsschwachstelle mit Referenzen hinzugefügt, die Links zu Schwachstellenmeldungen und Beratungsstellen enthalten können.

CVE-Nummern werden Schwachstellen zugewiesen, wenn diese mehrere spezielle Kriterien erfüllen. Sie müssen:

1. Unabhängig behebbar sein:

Die Schwachstelle kann unabhängig von anderen Bugs behoben werden.

2. Vom betroffenen Anbieter bestätigt ODER dokumentiert worden sein:

Der Software- oder Hardware-Anbieter bestätigt, dass die Schwachstelle existiert und die Sicherheit beeinträchtigt. Oder der Nutzer muss eine Schwachstellenmeldung geteilt haben, die die negativen Auswirkungen der Schwachstelle demonstriert, UND bestätigt haben, dass sie die Sicherheitsrichtlinien des betroffenen Systems verletzt.

3. Auswirkungen auf eine Codebase haben:

Schwachstellen, die mehr als ein Produkt beeinträchtigen, erhalten separate CVE-Nummern. Bei geteilten Bibliotheken, Protokollen oder Standards erhält die Schwachstelle nur dann eine gemeinsame CVE-Nummer, wenn die Verwendung des geteilten Codes in allen Fällen dieselbe Schwachstelle verursacht. Ansonsten erhält jede betroffene Codebase oder jedes Produkt eine separate CVE-Nummer.

Weitere Infos zur Sicherheit bei Red Hat

Der Schweregrad einer Schwachstelle lässt sich auf vielerlei Weise bestimmen. Eine Möglichkeit ist das Common Vulnerability Scoring System (CVSS), das aus mehreren offenen Standards besteht, mit denen eine Zahl zur Festlegung eines Schweregrads zugewiesen wird. CVSS-Scores werden von der NVD, CERT und anderen verwendet, um die Auswirkungen von Schwachstellen zu beurteilen. Die Punkteskala reicht von 0,0 bis 10,0, wobei der Schweregrad mit der Zahl zunimmt. Viele Sicherheitsanbieter haben außerdem ihr eigenes Punktesystem entwickelt.

Drei wichtige Schlussfolgerungen 

Prüfen Sie Ihre Bereitstellungen: Nur, weil ein CVE-Eintrag existiert, heißt das noch lange nicht, dass das damit verbundene Risiko auf Ihre spezifische Umgebung oder Bereitstellung zutrifft. Lesen Sie deshalb jeden CVE-Eintrag sorgfältig durch, um zu verstehen, ob dieser (auch in Teilen) auf Ihre individuelle Umgebung, das Betriebssystem, Anwendungen, Module und Konfigurationen zutrifft.

Praktizieren Sie Schwachstellenmanagement: Schwachstellenmanagement umfasst wiederholbare Prozesse zur Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Schwachstellen. Es bedeutet, dass Sie wissen müssen, wie sich ein bestimmtes Risiko auf Ihre Organisation auswirkt, damit Sie ungeklärte Schwachstellen entsprechend priorisieren und beheben können.

Zeigen Sie Kommunikationsbereitschaft: CVEs haben Auswirkungen auf die Systeme Ihrer Organisation, und zwar einerseits wegen der Schwachstellen selbst und andererseits wegen der Ausfallzeiten, die für ihre Behebung anfallen. Kommunizieren und koordinieren Sie dies mit Ihren internen Kunden, und teilen Sie Ihrer Organisation die Schwachstellen samt den zentralen Risikomanagementprozessen mit.

So arbeitet Red Hat mit CVEs

Red Hat leistet sehr viele Beiträge zur Open Source-Software und engagiert sich daher fortlaufend in der Sicherheits-Community. Red Hat ist selbst eine CVE Numbering Authority (CNA) und verwendet zur Überwachung von Sicherheitsschwachstellen CVE-Nummern. Red Hat Security unterhält eine offene und häufig aktualisierte Datenbank mit Sicherheits-Updates, die Sie nach CVE-Nummer anzeigen können.

Red Hat Product Security bietet Zugriff auf Sicherheitsrohdaten auf seiner Website Security Data und in einem maschinenlesbaren Format mit der Security Data API.

Zusätzlich zu den Sicherheitsberichten und Metriken, die Red Hat erstellt, können Kunden diese Rohdaten verwenden, um ihre eigenen Metriken für ihre eigenen besonderen Situationen zu erstellen.

Die von der Security Data API bereitgestellten Daten umfassen OVAL-Definitionen (Open Vulnerability and Assessment Language), CVRF-Dokumente (Common Vulnerability Reporting Framework) und CVE-Daten. Die Daten sind im XML- oder JSON-Format verfügbar.

Die Red Hat Infrastruktur

Red Hat Enterprise Linux ist eine stabile und bewährte Plattform, die ausreichend Vielseitigkeit für den Rollout neuer Anwendungen, die Virtualisierung von Umgebungen sowie die Erstellung einer sicheren Hybrid Cloud bietet – unterstützt von unserem vielfach ausgezeichneten Support.

Der einfachste Weg zur Verwaltung Ihrer Red Hat Infrastruktur für einen effizienten und regelkonformen IT-Betrieb: Richten Sie zuverlässige Inhalts-Repositories und Prozessabläufe ein, um eine standardbasierte und sichere Umgebung zu schaffen.