Common Vulnerabilities and Exposures
Shownotes
In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von "Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern, mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln ihre Sicht der Dinge mit dem Holzhammer.
CVE-Datenbanken:
- CVE-Suche von Mitre: https://www.cve.org
- CVE-Suche der NVD: https://nvd.nist.gov/vuln/search
Beispiele für Problem-CVEs
- Curl: https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/ & https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/
- PostgreSQL: https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/
- KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/
- Azure: https://heise.de/-9755370
CVE-Regeln
- Regelwerk für CNAs: https://www.cve.org/ResourcesSupport/AllResources/CNARules
- Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html
- Talk von Greg KH zu CVEs: https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/
Neuer Kommentar