Red Hat SummitÜberblick
CVE, kurz für Common Vulnerabilities and Exposures (Häufige Schwachstellen und Risiken), ist eine Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen. Mit CVE ist eine bestimmte Schwachstelle gemeint, der eine CVE-Nummer zugewiesen ist.
In Sicherheitshinweisen von Anbietern und Forschenden wird fast immer mindestens 1 CVE-Nummer erwähnt. Mithilfe von CVEs können IT-Fachleute solche Schwachstellen leichter priorisieren und beheben, um Computersysteme so sicher wie möglich zu machen.
Wie funktioniert das CVE-System?
Das von der US-Regierung finanzierte Forschungs- und Entwicklungsunternehmen MITRE Corporation entwickelte 1999 das CVE-System, das einen einheitlichen Standard zum Melden und Nachverfolgen von Sicherheitsfehlern in Software darstellt.
CVE-Einträge sind sehr kurz. Sie enthalten keinerlei technische Daten oder Infos zu Risiken, Auswirkungen und Fixes. Diese Details werden in anderen Datenbanken angezeigt, u. a. in der U.S. National Vulnerability Database (NVD), der CERT/CC Vulnerability Notes Database und in verschiedenen von Anbietern und anderen Organisationen gepflegten Listen.
In diesen verschiedenen Systemen bieten CVE-Nummern den Nutzenden eine zuverlässige Möglichkeit, eindeutige Schwachstellen zu erkennen und die Entwicklung von Sicherheitstools und -lösungen zu koordinieren. Die MITRE Corporation verwaltet die CVE-Liste, aber eine Schwachstelle, die zu einem CVE-Eintrag wird, wird oft von Organisationen und Mitgliedern der Open Source Community gemeldet.
CVE-Nummern
CVE-Nummern werden von einer CVE Numbering Authority (CNA) zugewiesen. Es gibt etwa 100 CNAs, darunter Sicherheitsfirmen, Forschungseinrichtungen und wichtige IT-Anbieter wie Red Hat, IBM, Cisco, Oracle und Microsoft. Außerdem können CVE-Nummern direkt von MITRE ausgegeben werden.
Den CNAs werden CVE-Nummernblöcke zugewiesen, die von den CNAs in Reserve gehalten werden, um sie dann bei Bedarf neu entdeckten Schwachstellen zuzuordnen. Jedes Jahr werden Tausende von CVE-Nummern vergeben. Ein einzelnes komplexes Produkt wie ein Betriebssystem kann Hunderte von CVE-Nummern enthalten. In 2 Phasen ist ein Betriebssystem besonders anfällig für Schwachstellen: in der End-of-Maintenance-Phase, in der keine Bug Fixes und Sicherheitspatches mehr ausgegeben werden, und der End-of-Life-Phase, in der es keinen Support durch den Erstanbieter mehr gibt. Als CentOS Linux 7 am 1. Juli 2024 die End-of-Life-Phase erreichte, wurde beispielsweise innerhalb eines Tages eine neue CVE bekannt gegeben. Dies zeigt, wie wichtig die Migration zu einem stabilen Betriebssystem ist, das regelmäßige Sicherheitspatches und -updates erhält.
Schwachstellen können von Anbietern, Forschenden oder auch von fachkundigen Nutzenden entdeckt und gemeldet werden. Viele Anbieter vergeben sogenannte Bug-Prämien, um die Offenlegung von Schwachstellen zu fördern. Wenn Sie also eine Schwachstelle in Open Source-Software finden, sollten Sie diese der jeweiligen Community melden.
Auf diese Weise finden Infos zu Schwachstellen stets ihren Weg zu einer CNA. Die CNA weist der Information dann eine CVE-Nummer zu. Danach wird der neue CVE-Eintrag auf der CVE-Website veröffentlicht.
Eine CNA weist die CVE-Nummer oft schon zu, bevor der Sicherheitshinweis öffentlich gemacht wird. Anbieter halten Sicherheitsschwachstellen häufig geheim, bis sie entsprechende Fixes entwickelt und getestet haben, um Angriffe zur Ausbeutung nicht gepatchter Schwachstellen zu verhindern.
Sobald CVE-Einträge veröffentlicht wurden, werden ihnen CVE-Nummern (im Format CVE-2019-1234567) sowie eine kurze Beschreibung der Sicherheitsschwachstelle mit Referenzen hinzugefügt, die Links zu Schwachstellenmeldungen und Empfehlungen enthalten können.
Red Hat Ressourcen
Welche Kriterien muss eine CVE erfüllen?
Gemäß den operativen CNA-Regeln werden CVE-Nummern Schwachstellen zugewiesen, die folgende Kriterien erfüllen:
- Sie sind unabhängig behebbar:
Die Schwachstelle kann unabhängig von anderen Bugs behoben werden. - Sie wurden vom betroffenen Anbieter bestätigt oder dokumentiert:
Der Software- oder Hardwareanbieter bestätigt, dass die Schwachstelle existiert und die Sicherheit beeinträchtigt. Alternativ muss die meldende Person eine Schwachstellenmeldung geteilt haben, die die negativen Auswirkungen der Schwachstelle demonstriert, und bestätigt haben, dass sie die Sicherheitsrichtlinien des betroffenen Systems verletzt. - Sie wirkt sich nur auf 1 Codebase aus:
Wenn eine Schwachstelle sich auf mehr als 1 Produkt auswirkt, wird jedem Produkt eine separate CVE-Nummer zugewiesen. Bei geteilten Libraries, Protokollen oder Standards erhält die Schwachstelle nur dann eine gemeinsame CVE-Nummer, wenn die Verwendung des geteilten Codes in allen Fällen dieselbe Schwachstelle verursacht. Ansonsten erhält jede betroffene Codebase oder jedes Produkt eine separate CVE-Nummer.
Was ist das Common Vulnerability Scoring System (CVSS)?
Der Schweregrad einer Schwachstelle lässt sich auf vielerlei Weise bestimmen. Eine Möglichkeit ist das Common Vulnerability Scoring System (CVSS), das aus mehreren offenen Standards besteht, mit denen eine Zahl zur Festlegung eines Schweregrads zugewiesen wird. CVSS-Scores werden von der NVD, CERT und anderen verwendet, um die Auswirkungen von Schwachstellen zu beurteilen. Die Punkteskala reicht von 0,0 bis 10,0, wobei der Schweregrad mit der Zahl zunimmt. Viele Sicherheitsanbieter haben außerdem ihr eigenes Punktesystem entwickelt.
3 wichtige Schlussfolgerungen
Prüfen Sie Ihre Bereitstellungen: Nur, weil ein CVE-Eintrag existiert, heißt das noch lange nicht, dass das damit verbundene Risiko auf Ihre spezifische Umgebung oder Bereitstellung zutrifft. Lesen Sie daher die jeweilige CVE, um sicherzustellen, ob sie (vollständig oder teilweise) für das Betriebssystem sowie die Anwendungen, Module und Konfigurationen Ihrer Umgebung relevant ist.
Praktizieren Sie Schwachstellenmanagement: Schwachstellenmanagement umfasst wiederholbare Prozesse zur Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Schwachstellen. Es bedeutet, dass Sie wissen müssen, wie sich ein bestimmtes Risiko auf Ihre Organisation auswirkt, damit Sie ungeklärte Schwachstellen entsprechend priorisieren und beheben können.
Zeigen Sie Kommunikationsbereitschaft:CVEs haben Auswirkungen auf die Systeme Ihrer Organisation, und zwar einerseits wegen der Schwachstellen selbst und andererseits wegen der Ausfallzeiten, die für ihre Behebung anfallen. Kommunizieren und koordinieren Sie dies mit Ihren internen Kunden, und teilen Sie Ihrer Organisation die Schwachstellen samt den zentralen Risikomanagementprozessen mit.
Wie Red Hat mit CVEs arbeitet
Red Hat leistet sehr viele Beiträge zu Open Source-Software und engagiert sich daher fortlaufend in der Sicherheits-Community. Red Hat ist selbst eine CNA und verwendet zur Überwachung von Sicherheitsschwachstellen CVE-Nummern. Red Hat Product Security unterhält eine offene und regelmäßig aktualisierte Datenbank mit Sicherheitsupdates, die Sie nach CVE-Nummer anzeigen können.
Was ist die Red Hat Security Data API?
Red Hat Product Security bietet Zugriff auf Sicherheitsrohdaten im Red Hat Customer Portal und in einem maschinenlesbaren Format mit der Security Data API (Application Programming Interface).
Zusätzlich zu den Sicherheitsberichten und Metriken, die Red Hat erstellt, können Kunden diese Rohdaten verwenden, um ihre eigenen Metriken für ihre besonderen Situationen zu erstellen.
Die von der Security Data API bereitgestellten Daten umfassen OVAL-Definitionen (Open Vulnerability and Assessment Language), CVRF-Dokumente (Common Vulnerability Reporting Framework) und CVE-Daten. Die Daten sind im XML- oder JSON-Format verfügbar.
Der offizielle Red Hat Blog
Lernen Sie mehr über unser Ökosystem von Kunden, Partnern und Communities und erfahren Sie das Neueste zu Themen wie Automatisierung, Hybrid Cloud, KI und mehr.
