Was bedeutet CVE?

Veröffentlicht 25. November 20212 Minuten (Lesedauer)
URL kopieren

Red Hat Ressourcen

Welche Kriterien muss eine CVE erfüllen?

Gemäß den operativen CNA-Regeln werden CVE-Nummern Schwachstellen zugewiesen, die die nachfolgend aufgeführten Kriterien erfüllen:

  • Sie sind unabhängig behebbar.
    Die Schwachstelle kann unabhängig von anderen Bugs behoben werden.
  • Sie wurden vom betroffenen Anbieter bestätigt oder dokumentiert.
    Der Software- oder Hardwareanbieter bestätigt, dass die Schwachstelle existiert und die Sicherheit beeinträchtigt. Alternativ muss die meldende Person eine Schwachstellenmeldung geteilt haben, die die negativen Auswirkungen der Schwachstelle demonstriert, und bestätigt haben, dass sie die Sicherheitsrichtlinien des betroffenen Systems verletzt.
  • Sie wirkt sich nur auf 1 Codebase aus.
    Wenn eine Schwachstelle sich auf mehr als 1 Produkt auswirkt, wird jedem Produkt eine separate CVE-Nummer zugewiesen. Bei gemeinsam genutzten Libraries, Protokollen oder Standards erhält die Schwachstelle nur dann eine einzelne CVE-Nummer, wenn es keine Möglichkeit zur Verwendung des gemeinsam genutzten Codes gibt, ohne angreifbar zu sein. Ansonsten erhält jede betroffene Codebase oder jedes Produkt eine eindeutige CVE.
6 Strategien zur Stärkung Ihrer IT-Basis

Was ist das Common Vulnerability Scoring System (CVSS)?

Der Schweregrad einer Schwachstelle lässt sich auf vielerlei Weise bestimmen. Eine Möglichkeit ist das Common Vulnerability Scoring System (CVSS), das aus mehreren offenen Standards besteht, mit denen eine Zahl zur Festlegung eines Schweregrads zugewiesen wird. CVSS-Scores werden von der NVD, CERT und anderen verwendet, um die Auswirkungen von Schwachstellen zu beurteilen. Die Punkteskala reicht von 0,0 bis 10,0, wobei der Schweregrad mit der Zahl zunimmt. Viele Sicherheitsanbieter haben außerdem ihr eigenes Punktesystem entwickelt.

3 wichtige Schlussfolgerungen 

Prüfen Sie Ihre Bereitstellungen Nur, weil ein CVE-Eintrag existiert, heißt das noch lange nicht, dass das damit verbundene Risiko auf Ihre spezifische Umgebung oder Bereitstellung zutrifft. Lesen Sie daher die jeweilige CVE, um sicherzustellen, ob sie (vollständig oder teilweise) für das Betriebssystem sowie die Anwendungen, Module und Konfigurationen Ihrer Umgebung relevant ist.

Praktizieren Sie Schwachstellenmanagement Schwachstellenmanagement umfasst wiederholbare Prozesse zum Identifizieren, Klassifizieren, Priorisieren, Beheben und Mindern von Schwachstellen. Es bedeutet, dass Sie wissen müssen, wie sich ein bestimmtes Risiko auf Ihre Organisation auswirkt, damit Sie ungeklärte Schwachstellen entsprechend priorisieren und beheben können.

Zeigen Sie Kommunikationsbereitschaft CVEs wirken sich auf die Systeme Ihrer Organisation aus, einerseits durch die Schwachstellen selbst und andererseits durch Ausfallzeiten, die für ihre Behebung anfallen. Kommunizieren und koordinieren Sie dies mit Ihren internen Kunden, und teilen Sie Ihrer Organisation die Schwachstellen samt den zentralen Risikomanagementprozessen mit.

Wie Red Hat mit CVEs arbeitet

Red Hat leistet sehr viele Beiträge zu Open Source-Software und engagiert sich daher fortlaufend in der Sicherheits-Community. Red Hat ist selbst eine CNA und verwendet zur Überwachung von Sicherheitsschwachstellen CVE-Nummern. Red Hat Product Security unterhält eine offene und regelmäßig aktualisierte Datenbank mit Sicherheitsupdates, die Sie nach CVE-Nummer anzeigen können. Im Rahmen des ELS-Programms (Extended Lifecycle Support) behebt Red Hat auch weiterhin als kritisch oder wichtig eingestufte CVEs für Produkte in der EOM-Phase (End of Maintenance), wie Red Hat Enterprise Linux 7.

Zur Red Hat CVE-Datenbank

Was ist die Red Hat Security Data API?

Red Hat Product Security bietet Zugriff auf Sicherheitsrohdaten im Red Hat Customer Portal und in einem maschinenlesbaren Format mit der Security Data API (Application Programming Interface).

Zusätzlich zu den Sicherheitsberichten und Metriken, die Red Hat erstellt, können Kunden diese Rohdaten verwenden, um eigene Metriken für ihre besondere Situation zu erstellen.

Die von der Security Data API bereitgestellten Daten umfassen OVAL-Definitionen (Open Vulnerability and Assessment Language), CVRF-Dokumente (Common Vulnerability Reporting Framework) und CVE-Daten. Die Daten sind im XML- oder JSON-Format verfügbar.

Zur Red Hat Security Data API Dokumentation

Der offizielle Red Hat Blog

Lernen Sie mehr über unser Ökosystem von Kunden, Partnern und Communities und erfahren Sie das Neueste zu Themen wie Automatisierung, Hybrid Cloud, KI und mehr.

Red Hat Testversionen

Unsere kostenlosen Testversionen unterstützen Sie dabei, praktische Erfahrungen zu sammeln, sich auf eine Zertifizierung vorzubereiten oder zu bewerten, ob ein Produkt die richtige Wahl für Ihr Unternehmen ist.
Weiterlesen

Weiterlesen

Was ist Confidential Computing?

Beim Confidential Computing wird hardwarebasiertes Computing eingesetzt, um Daten zu schützen, wenn sie nicht im Ruhezustand sind oder übertragen werden – also während der tatsächlichen Nutzung.

Was sind SPIFFE und SPIRE?

SPIFFE und SPIRE sind 2 Open Source-Projekte für das Identitätsmanagement in dynamischen und vielfältigen Computing-Umgebungen. Gemeinsam lösen sie viele Sicherheitsprobleme.

Red Hat Enterprise Linux – Sicherheit

Red Hat Enterprise Linux ist eine weltweit führende Open Source Linux-Plattform, mit der Sie Risiken minimieren, Sicherheitskonfigurationen und -richtlinien durchsetzen und Ihre Compliance-Strategie optimieren können.

Ressourcen zu Sicherheit

Zugehörige Inhalte

Verwandte Artikel