Überblick
CVE, kurz für Common Vulnerabilities and Exposures (Häufige Schwachstellen und Risiken), ist eine Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen. Mit CVE ist eine bestimmte Schwachstelle gemeint, der eine CVE-Nummer zugewiesen ist.
In Sicherheitshinweisen von Anbietern und Forschenden wird fast immer mindestens eine CVE-Nummer erwähnt. Mithilfe von CVEs können IT-Fachleute solche Schwachstellen leichter priorisieren und beheben, um Computersysteme sicherer zu machen.
Zu lang, nicht gelesen
Keine Lust zu lesen? Dann sehen Sie sich dieses kurze Video über CVE an.
Wie funktioniert das CVE-System?
Das CVE-Programm steht unter der Aufsicht der MITRE Corporation und wird von der Cybersecurity and Infrastructure Security Agency (CISA) finanziert, die zum U.S. Department of Homeland Security gehört.
CVE-Einträge sind sehr kurz. Sie enthalten keinerlei technische Daten oder Infos zu Risiken, Auswirkungen und Fixes. Diese Details werden in anderen Datenbanken angezeigt, u. a. in der U.S. National Vulnerability Database (NVD), der CERT/CC Vulnerability Notes Database und in verschiedenen von Anbietern und anderen Organisationen gepflegten Listen.
In diesen verschiedenen Systemen bieten CVE-Nummern den Nutzenden eine zuverlässige Möglichkeit, eindeutige Schwachstellen zu erkennen und die Entwicklung von Sicherheitstools und -lösungen zu koordinieren. Die MITRE Corporation verwaltet die CVE-Liste, aber eine Schwachstelle, die zu einem CVE-Eintrag wird, wird oft von Organisationen und Mitgliedern der Open Source Community gemeldet.
Über CVE-Nummern
CVE-Nummern werden von einer CVE Numbering Authority (CNA) zugewiesen. Es gibt etwa 100 CNAs, die wichtige IT-Anbieter – wie Red Hat, IBM, Cisco, Oracle und Microsoft – sowie Sicherheitsfirmen und Forschungseinrichtungen umfassen. Außerdem können CVE-Nummern direkt von MITRE ausgegeben werden.
Den CNAs werden CVE-Nummernblöcke zugewiesen, die dann bei Bedarf neuen Schwachstellen zugeordnet werden können. Jedes Jahr werden Tausende von CVE-Nummern vergeben. Ein einzelnes komplexes Produkt wie ein Betriebssystem kann Hunderte von CVE-Nummern enthalten.
CVE-Meldungen können aus vielen Quellen stammen. So können Schwachstellen von Anbietern, Forschenden oder auch fachkundigen Nutzenden entdeckt und gemeldet werden. Viele Anbieter vergeben sogenannte Bug-Prämien, um die Offenlegung von Schwachstellen zu fördern. Wenn Sie also eine Schwachstelle in Open Source-Software finden, sollten Sie diese der jeweiligen Community melden.
Auf diese Weise finden Infos zu Schwachstellen stets ihren Weg zu einer CNA. Die CNA wiederum weist diesen Daten eine CVE-Nummer zu und verfasst eine Kurzbeschreibung mit Referenzen. Danach wird der neue CVE-Eintrag auf der CVE-Website veröffentlicht.
Häufig werden CVE-Nummern vergeben, bevor ein Sicherheitshinweis veröffentlicht wird. Anbieter halten Sicherheitsschwachstellen außerdem oft geheim, bis Fixes entwickelt und getestet wurden. Auf diese Weise wird das Risiko einer Attacke auf Sicherheitsschwachstellen, die bis dato noch ohne Patch sind, verringert.
Sobald CVE-Einträge veröffentlicht wurden, werden ihnen CVE-Nummern (im Format CVE-2019-1234567) sowie eine kurze Beschreibung der Sicherheitsschwachstelle mit Referenzen hinzugefügt, die Links zu Schwachstellenmeldungen und Beratungsstellen enthalten können.
Welche Kriterien muss eine CVE erfüllen?
CVE-Nummern werden Schwachstellen zugewiesen, wenn diese mehrere spezielle Kriterien erfüllen. Sie müssen:
1. Unabhängig behebbar sein:
Die Schwachstelle kann unabhängig von anderen Bugs behoben werden.
2. Vom betroffenen Anbieter bestätigt ODER dokumentiert worden sein:
Der Software- oder Hardwareanbieter bestätigt, dass die Schwachstelle existiert und die Sicherheit beeinträchtigt. Oder die meldende Person muss eine Schwachstellenmeldung geteilt haben, die die negativen Auswirkungen der Schwachstelle demonstriert, UND bestätigt haben, dass sie die Sicherheitsrichtlinien des betroffenen Systems verletzt.
3. Auswirkungen auf eine Codebase haben:
Schwachstellen, die mehr als ein Produkt beeinträchtigen, erhalten separate CVE-Nummern. Bei geteilten Bibliotheken, Protokollen oder Standards erhält die Schwachstelle nur dann eine gemeinsame CVE-Nummer, wenn die Verwendung des geteilten Codes in allen Fällen dieselbe Schwachstelle verursacht. Ansonsten erhält jede betroffene Codebase oder jedes Produkt eine separate CVE-Nummer.
Was ist das Common Vulnerability Scoring System (CVSS)?
Der Schweregrad einer Schwachstelle lässt sich auf vielerlei Weise bestimmen. Eine Möglichkeit ist das Common Vulnerability Scoring System (CVSS), das aus mehreren offenen Standards besteht, mit denen eine Zahl zur Festlegung eines Schweregrads zugewiesen wird. CVSS-Scores werden von der NVD, CERT und anderen verwendet, um die Auswirkungen von Schwachstellen zu beurteilen. Die Punkteskala reicht von 0,0 bis 10,0, wobei der Schweregrad mit der Zahl zunimmt. Viele Sicherheitsanbieter haben außerdem ihr eigenes Punktesystem entwickelt.
3 wichtige Schlussfolgerungen
Prüfen Sie Ihre Bereitstellungen: Nur, weil ein CVE-Eintrag existiert, heißt das noch lange nicht, dass das damit verbundene Risiko auf Ihre spezifische Umgebung oder Bereitstellung zutrifft. Lesen Sie deshalb jeden CVE-Eintrag sorgfältig durch, um zu verstehen, ob dieser (auch in Teilen) auf Ihre individuelle Umgebung, das Betriebssystem, Anwendungen, Module und Konfigurationen zutrifft.
Praktizieren Sie Schwachstellenmanagement: Schwachstellenmanagement umfasst wiederholbare Prozesse zur Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Schwachstellen. Es bedeutet, dass Sie wissen müssen, wie sich ein bestimmtes Risiko auf Ihre Organisation auswirkt, damit Sie ungeklärte Schwachstellen entsprechend priorisieren und beheben können.
Zeigen Sie Kommunikationsbereitschaft: CVEs haben Auswirkungen auf die Systeme Ihrer Organisation, und zwar einerseits wegen der Schwachstellen selbst und andererseits wegen der Ausfallzeiten, die für ihre Behebung anfallen. Kommunizieren und koordinieren Sie dies mit Ihren internen Kunden, und teilen Sie Ihrer Organisation die Schwachstellen samt den zentralen Risikomanagementprozessen mit.
Wie Red Hat mit CVEs arbeitet
Red Hat leistet sehr viele Beiträge zur Open Source-Software und engagiert sich daher fortlaufend in der Sicherheits-Community. Red Hat ist selbst eine CVE Numbering Authority (CNA) und verwendet zur Überwachung von Sicherheitsschwachstellen CVE-Nummern. Red Hat Security unterhält eine offene und häufig aktualisierte Datenbank mit Sicherheits-Updates, die Sie nach CVE-Nummer anzeigen können.
Was ist die Red Hat Security Data API?
Red Hat Product Security bietet Zugriff auf Sicherheitsrohdaten auf seiner Website Security Data und in einem maschinenlesbaren Format mit der Security Data API.
Zusätzlich zu den Sicherheitsberichten und Metriken, die Red Hat erstellt, können Kunden diese Rohdaten verwenden, um ihre eigenen Metriken für ihre eigenen besonderen Situationen zu erstellen.
Die von der Security Data API bereitgestellten Daten umfassen OVAL-Definitionen (Open Vulnerability and Assessment Language), CVRF-Dokumente (Common Vulnerability Reporting Framework) und CVE-Daten. Die Daten sind im XML- oder JSON-Format verfügbar.