Anmelden / Registrieren Konto

Sicherheit

Was bedeutet CVE?

CVE, kurz für Common Vulnerabilities and Exposures (Häufige Schwachstellen und Risiken), ist eine Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen. Mit CVE ist in der Regel die CVE-Nummer gemeint, die einer bestimmten Schwachstelle zugewiesen ist.

Mithilfe von CVEs können IT-Fachleute solche Schwachstellen leichter priorisieren und beheben, um Computersysteme sicherer zu machen.

Wie funktioniert das CVE-System?

CVE steht unter der Aufsicht der MITRE Corporation und wird von der Cybersecurity and Infrastructure Security Agency finanziert, die zum U.S. Department of Homeland Security gehört.

CVE-Einträge sind sehr kurz. Sie enthalten keinerlei technische Daten oder Infos zu Risiken, Auswirkungen und Fixes. Diese Details werden in anderen Datenbanken angezeigt, u. a. in der U.S. National Vulnerability Database, der CERT/CC Vulnerability Notes Database und in verschiedenen von Anbietern und anderen Organisationen gepflegten Listen. Inmitten dieser verschiedenen Systeme sorgen die CVE-Nummern dafür, dass der Benutzer Sicherheitsschwachstellen eindeutig voneinander unterscheiden kann.

Wie werden CVE-Nummern für Sicherheitsschwachstellen vergeben?

CVE-Nummern werden von einer CVE Numbering Authority (CNA) zugewiesen. Es gibt ca. 100 CNAs, die wichtige IT-Anbieter sowie Sicherheitsfirmen und Forschungseinrichtungen umfassen. Dazu können CVE-Nummern direkt von MITRE ausgegeben werden.

Den CNAs werden CVE-Nummernblöcke zugewiesen, die dann bei Bedarf neuen Schwachstellen zugeordnet werden können. Jedes Jahr werden Tausende CVE-Nummern vergeben. Ein einzelnes komplexes Produkt wie ein Betriebssystem kann Hunderte von CVE-Nummern enthalten.

CVE-Meldungen können aus vielen Quellen stammen. So können Schwachstellen von Anbietern, Wissenschaftlern oder auch fachkundigen Benutzern entdeckt und gemeldet werden. Viele Anbieter vergeben sogenannte Bug-Prämien, um die Offenlegung von Sicherheitsproblemen zu fördern. Wenn Sie also eine Schwachstelle in Open Source Software finden, melden Sie diese der jeweiligen Community.

Auf diese Weise finden Infos zu Schwachstellen stets ihren Weg zu einer CNA. Die CNA wiederum weist diesen Daten eine CVE-Nummer zu und verfasst eine Kurzbeschreibung mit Referenzen. Danach wird der CVE-Eintrag auf der CVE-Website veröffentlicht.

Es kann sein, dass nicht alle diese Schritte sofort passieren. Oft ist es so, dass Anbieter Sicherheitsschwachstellen geheim halten, bis Fixes entwickelt und getestet wurden. Auf diese Weise wird das Risiko einer Attacke auf Sicherheitsschwachstellen, die bis dato noch ohne Patch sind, verringert.

Sobald CVE-Einträge veröffentlicht wurden, werden ihnen CVE-Nummern (im Format CVE-2019-1234567) sowie eine kurze Beschreibung der Sicherheitsschwachstelle mit Referenzen hinzugefügt, die Links zu Schwachstellenmeldungen und Beratungsstellen enthalten können.


Welche Kriterien muss eine CVE erfüllen?

CVE-Nummern werden Schwachstellen zugewiesen, wenn diese mehrere spezielle Kriterien erfüllen. Sie müssen:

1. Unabhängig behebbar sein:

Die Schwachstelle kann unabhängig von anderen Bugs behoben werden.

2. Vom betroffenen Anbieter bestätigt worden sein:

Der Software- oder Hardware-Anbieter bestätigt, dass die Schwachstelle existiert und die Sicherheit beeinträchtigt.

ODER

Dokumentiert worden sein: Ein Nutzer hat eine Schwachstellenmeldung geteilt, die die negativen Auswirkungen der Schwachstelle demonstriert, UND er hat bestätigt, dass sie die Sicherheitsrichtlinien des betroffenen Systems verletzt.

3. Auswirkungen auf eine Codebase haben:

Schwachstellen, die mehr als ein Produkt beeinträchtigen, erhalten separate CVE-Nummern. Bei geteilten Bibliotheken, Protokollen oder Standards erhält die Schwachstelle nur dann eine gemeinsame CVE-Nummer, wenn die Verwendung des geteilten Codes in allen Fällen dieselbe Schwachstelle verursacht. Ansonsten erhält jede betroffene Codebase oder jedes Produkt eine separate CVE-Nummer.


Was ist das Common Vulnerability Scoring System (CVSS)?

Der Schweregrad einer Schwachstelle lässt sich auf vielerlei Weise bestimmen. Eine Möglichkeit ist das Common Vulnerability Scoring System, das aus mehreren offenen Standards besteht, mit denen eine Zahl zur Festlegung eines Schweregrads zugewiesen wird. Die Punkteskala reicht von 0,0 bis 10,0, wobei der Schweregrad mit der Zahl zunimmt. Viele Sicherheitsanbieter haben außerdem ihr eigenes Punktesystem entwickelt.

Drei wichtige Forderungen

Prüfen Sie Ihre Bereitstellungen: Nur, weil ein CVE-Eintrag existiert, heißt das noch lange nicht, dass das damit verbundene Risiko auf Ihre spezifische Umgebung oder Bereitstellung zutrifft. Lesen Sie deshalb jeden CVE-Eintrag sorgfältig durch, um zu verstehen, ob dieser (auch in Teilen) auf Ihre individuelle Umgebung, das Betriebssystem, Anwendungen, Module und Konfigurationen zutrifft.

Praktizieren Sie Schwachstellenmanagement:& ;Schwachstellenmanagement umfasst wiederholbare Prozesse zur Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Schwachstellen. Es bedeutet, dass Sie wissen müssen, wie sich ein bestimmtes Risiko auf Ihre Organisation auswirkt, damit Sie ungeklärte Schwachstellen entsprechend priorisieren und beheben können.

Zeigen Sie Kommunikationsbereitschaft: CVEs haben Auswirkungen auf die Systeme Ihrer Organisation, und zwar einerseits wegen der Schwachstellen selbst und andererseits wegen der Ausfallzeiten, die für ihre Behebung anfallen. Kommunizieren und koordinieren Sie dies mit Ihren internen Kunden, und teilen Sie Ihrer Organisation die Schwachstellen samt den zentralen Risikomanagementprozessen mit.

So arbeitet Red Hat mit CVEs

Red Hat leistet sehr viele Beiträge zur Open Source Software und engagiert sich daher fortlaufend in der Sicherheits-Community. Red Hat ist selbst eine CVE Numbering Authority (CNA) und verwendet zur Überwachung von Sicherheitsschwachstellen CVE-Nummern. Red Hat Security unterhält eine offene und häufig aktualisierte Datenbank mit Sicherheits-Updates, die Sie nach CVE-Nummer anzeigen können.

Trust Red Hat

Learn about Red Hat’s commitment to protecting customer data and privacy

Die Red Hat Infrastruktur

Red Hat Enterprise Linux logo

Red Hat Enterprise Linux ist eine stabile und bewährte Plattform, die ausreichend Vielseitigkeit für den Rollout neuer Anwendungen, die Virtualisierung von Umgebungen sowie die Erstellung einer sicheren Hybrid Cloud bietet – unterstützt von unserem vielfach ausgezeichneten Support.

Der einfachste Weg zur Verwaltung Ihrer Red Hat Infrastruktur für einen effizienten und regelkonformen IT-Betrieb: Richten Sie zuverlässige Inhalts-Repositorys und Prozessabläufe ein, um eine standardbasierte und sichere Umgebung zu schaffen.