Definition

Common Vulnerabilities and Exposures (CVE) ist ein Verzeichnis eindeutiger Kennungen (CVE-ID), die offengelegten Sicherheitslücken im Internet zugewiesen werden und eine standardisierte Methode zur Identifizierung und Weitergabe von Informationen zu diesen Schwachstellen ermöglichen.

Übersicht

Vor der Einführung des CVE-Systems im Jahr 1999 nutzten verschiedene Security-Anbieter in Ihren Tools eigene Datenbanken und Namenskonventionen, um über Sicherheitslücken zu berichten, was zu einer schlechten Abstimmung mit anderen Tools und Services und damit zu lückenhaften Informationen über Schwachstellen führte. In Folge wurde das CVE-System entwickelt, um die Identifizierung und Benennung von Sicherheitslücken und den Informationsaustausch darüber zu standardisieren.

Heute ist „CVE“ der De-facto-Standard für die eindeutige Identifizierung von Sicherheitslücken und ermöglicht eine zuverlässige Zuordnung von bestimmten Softwareversionen oder Softwarebibliotheken zu öffentlich bekannten Sicherheitslücken. Auf diese Weise kann es als Bindeglied zwischen Schwachstellenscannern, Patch-Informationen, Patch-Managern und Security Engineers angesehen werden.

Dies führte zweifellos zu einer Effizienzsteigerung bei Sicherheitsexperten, Forschern und Unternehmen, hinsichtlich der Identifizierung, Verfolgung und Priorisierung von Schwachstellen. Das erleichtert die Zusammenarbeit in Hinblick auf diese Sicherheitslücken und sorgt für eine zeitnahe Reaktion und die Entwicklung wirksamer Abhilfemaßnahmen.

Wie funktioniert das CVE-System?

Das CVE-System funktioniert, indem jeder Vulnerability eine eindeutige Kennung zugewiesen wird. Diese Kennung, bekannt als CVE-IDs können von jedem angefordert werden, wenn sie bei der entsprechenden CNA Numbering Authority (CNA) eingereicht werden.
CNAs sind Organisationen, die vom CVE-Programm überprüft und genehmigt wurden, um CVE-IDs zuzuweisen und CVE-Datensätze in ihrem spezifischen Abdeckungsbereich zu veröffentlichen. Diese Organisationen unterscheiden sich in Bezug auf Gebiet und Fachwissen, um eine möglichst breite Palette von Schwachstellenarten abzudecken.

CVE-Programm vs. CVE-Datenbank

Das CVE-Programm und die CVE-Datenbank (auch bekannt als National Vulnerability Database oder NVD) sind zwei unterschiedliche, aber miteinander verbundene Teile im Bereich des Informationsaustauschs und des Schwachstellenmanagements.

Das CVE-Programm: Das von der MITRE Corporation verwaltete CVE-Programm ist eine globale Initiative, die eine standardisierte Namenskonvention für öffentlich bekannte Schwachstellen bereitstellt. Hauptzweck des CVE-Programms ist es, Schwachstellen eine eindeutige Kennung (CVE-ID) zuzuweisen, die es Organisationen erleichtert, sie zu referenzieren und zu verfolgen. Das CVE-Programm fungiert als zentrale Instanz für die Zuweisung und Verwaltung von CVE-IDs, um eine Konsistenz zwischen verschiedenen Sicherheitstools, Datenbanken und Plattformen zu gewährleisten.

Die CVE-Datenbank: Die CVE-Datenbank wird vom National Institute of Standards and Technology (NIST) verwaltet und ist eine umfassende Sammlung an Informationen über Sicherheitslücken. Sie enthält detaillierte Datensätze zu Schwachstellen, einschließlich ihrer CVE-IDs, Beschreibungen, Schweregradbewertungen, betroffenen Softwareversionen und zugehörigen Referenzen. Die NVD, die Teil der CVE-Datenbank ist, bietet eine öffentlich zugängliche Plattform, auf der Benutzer nach Informationen über Sicherheitslücken suchen können. Sie bietet zudem zusätzliche Ressourcen wie Schwachstellenmetriken, Bewertungssysteme wie CVSS und Links zu Sicherheitshinweisen und Patches.

MITRE vs. NIST

MITRE überwacht die Zuweisung und Verwaltung von CVE-IDs im Rahmen des CVE-Programms. Es arbeitet mit allen Beteiligten wie Anbietern, Schwachstellenforschern und Sicherheitsorganisationen zusammen, um eine präzise und schnelle Identifizierung von Schwachstellen zu ermöglichen. MITRE verwaltet auch die CVE-Liste, eine Hauptquelle für CVE-IDs und zugehörige Details.

Das NIST dagegen ist für die Pflege und den Betrieb der NVD verantwortlich. Das umfasst das Sammeln von Schwachstellendaten aus verschiedenen Quellen, das Zusammenstellen und Analysieren der Informationen sowie das Einpflegen in die CVE-Datenbank. Das NIST arbeitet mit MITRE und anderen Organisationen zusammen, um zu gewährleisten, dass die Schwachstellendaten akkurat und integer sind. Sie stellen außerdem zusätzliche Ressourcen und Tools zur Verfügung, um die User beim Verständnis und der Behebung der Schwachstellen zu unterstützen

Zusammenfassend lässt sich sagen, dass das CVE-Programm, das von MITRE verwaltet wird, sich auf die Zuweisung eindeutiger Kennungen (CVE-IDs) für Schwachstellen konzentriert, während die CVE-Datenbank (NVD), die von NIST verwaltet wird, als Repository für Schwachstelleninformationen dient, die in erster Linie durch CVE-IDs geordnet sind. Während MITRE also eine zentrale Rolle bei der Verwaltung der CVE-IDs spielt, ist NIST für die Pflege der NVD zuständig und stellt damit wertvolle Ressourcen für das Schwachstellenmanagement und die Kommunikation darüber bereit.

Was qualifiziert eine Schwachstelle für einen CVE-Eintrag?

Es gibt mehrere Faktoren, die berücksichtigt werden, wenn es darum geht, ob eine Schwachstelle die Voraussetzungen erfüllt, um eine CVE-ID zu erhalten und somit als CVE zu gelten. Um eine Schwachstelle als CVE zu qualifizieren…

  • … muss sie das Potenzial haben, Vertraulichkeit, Integrität oder Verfügbarkeit eines Systems oder von Daten zu gefährden.
  • … muss es möglich sein, die Schwachstelle unter bestimmten Bedingungen zuverlässig zu reproduzieren.
  • …  sollte sie weit verbreitete Software, Systeme oder Geräte betreffen.
  • … sollte sie über eine konkrete Dokumentation bzw. über einen eindeutigen Beweis für die Existenz und die potenziellen Auswirkungen enthalten.
  • … darf Sie nicht von anderen Schwachstellen abhängig sein, um ausgenutzt werden zu können.
  • … muss eine Notwendigkeit zur Schadensbegrenzung oder -behebung bestehen

Das MITRE CVE-Programm deckt alle Arten von Schwachstellen ab, inklusive Software/Anwendungsschwachstellen, Infrastruktur/Konfigurationsschwachstellen und Netzwerkschwachstellen.

Ausnahme sind Schwachstellen auf Websites oder in Webanwendungen, die keine CVE-Zuordnung erhalten. Das liegt daran, dass der Zweck des CVE-Programms darin besteht, zur Aktualisierung auf eine neue Version der Software zu bewegen, was im Kontext von Websites, die im Hintergrund aktualisiert werden, nicht relevant ist. Darüber hinaus wird schadhaften Softwarepaketen in der Regel aus demselben Grund keine CVE zugewiesen – ein schadhaftes Paket verfügt nicht über eine „sichere Version“, auf die Benutzer aktualisieren können.

Was ist CVE-Scanning?

CVE-Scanning ist eine Art von Schwachstellen-Scanning, bei dem Softwarekomponenten, Bibliotheken und Abhängigkeiten auf CVEs hin gescannt werden. Die Datenbank mit offengelegten Schwachstellen, auf die sich CVE-Scanner beziehen, liefert auch wichtige Informationen über den Schweregrad und die Anwendbarkeit der einzelnen Schwachstellen.

Durch die Durchführung von CVE-Scans und der Info hinsichtlich dem Schweregrad der entdeckten Schwachstellen können Unternehmen die potenziellen Auswirkungen und die Relevanz jeder gemeldeten Bedrohung einschätzen.

How to Spend Less Time Fixing CVE’s

Wie man Angriffe mit Hilfe von CVE-Scans verhindert

Der beste Weg, mit einer Software-Schwachstelle umzugehen, ist naturülich, sie von vornherein zu verhindern. Wir raten Entwicklern daher, Drittanbieter-Bibliotheken zu überprüfen, bevor sie sie verwenden, und Libraries ohne kritische CVEs zu wählen.

Da keine Lösung sicherstellen kann, dass Ihr Anwendungscode zu 100 % frei von Sicherheitslücken ist, ist das CVE-Scannen als kontinuierlich laufende Sicherheitsmaßnahme von Vorteil. CVE-Scanner warnen Entwickler vor bekannten anfälligen Komponenten und geben ihnen so die Möglichkeit, das Problem in ihrer Codebasis zu lösen. CVE-Scanner erkennen zwar nicht alle Bedrohungen, wie z. B. Zero-Day-Schwachstellen, aber sie schützen vor den meisten Bedrohungen.

Wenn Sie Schwachstellen gefunden haben, sollten Sie den Bedrohungsgrad anhand des CVSS-Levels (Common Vulnerability Scoring System) für jede gekennzeichnete Meldung beurteilen. Viele ausgereifte DevSecOps-Teams setzen auch kommerzielle CVE-Scanner mit Funktionen zur Risikoeinschätzung ein, d. h. sie verwenden Software zum Scannen von Schwachstellen, mit deren Hilfe sie die Warnungen priorisieren können, die das größte Risiko für ihr spezifisches Build darstellen.

Schließlich entwickeln Sie einen Plan zur Behebung der Sicherheitslücke und führen ihn aus. Der Lösungsansatz hängt von der Art der Schwachstelle ab, aber in vielen Fällen beinhaltet die Behebung der Schwachstelle entweder das Einspielen eines Patches oder ein Update auf eine neuste Version der anfälligen Drittanbieterkomponente. Falls keine Lösung verfügbar ist und Sie es nicht selbst beheben können, können Sie auch Maßnahmen ergreifen, um zu verhindern, dass die Sicherheitslücke ausgenutzt wird, indem Sie beispielsweise die Konfiguration der Anwendung so anpassen, dass die für eine Ausnutzung erforderlichen Voraussetzungen nicht mehr gegeben sind.

Auf diese Weise können Sie dazu beitragen, dass CVEs einerseits entdeckt und andererseits nicht ausgenutzt werden.

Mehr zum Thema Security

Xray SCA Scanning Solution

Eine universelle Software Composition Analysis-Lösung, für die proaktive Identifizierung von Schwachstellen.

JFrog Xray entdecken

Open Source Curation

Verwenden Sie Open-Source-Software ohne Bedenken, indem Sie nur zugelassene Komponenten verwenden und schädliche Pakete blockieren.

Jfrog Curation entdecken

Advanced Container Scanning

Die kontextbezogene Analyse prüft Container-Images und zeigt je nach Build-Anforderungen Prioritäten und konkrete Abhilfemaßnahmen auf.

Webinar ansehen

Jetzt JFrog Software Supply Chain Platform entdecken