Technischer Support
Dokumentation
Anmeldung
Kontakt
- CVE stellt eindeutige Kennungen für Schwachstellen bereit, die die Verfolgung und Kommunikation über Plattformen hinweg erleichtern.
- CVSS weist den Schwachstellen numerische Werte zu und hilft bei der Priorisierung nach Schweregrad.
- CVE und CVSS versetzen Linux-Administratoren in die Lage, Risiken effektiv zu erkennen, zu bewerten und abzuschwächen.
Von einzelnen Benutzern bis hin zu großen Unternehmen ist das Risiko von Cyberangriffen allgegenwärtig. Um diese Risiken wirksam einzudämmen, ist es wichtig, die grundlegenden Konzepte von CVE- und CVSS-Scores zu verstehen.
CVE steht für Common Vulnerabilities and Exposures. Vereinfacht ausgedrückt, handelt es sich um eine öffentlich bekannt gegebene Sicherheitslücke in einer bestimmten Software. CVSS (Common Vulnerability Scoring System) hingegen ist ein standardisierter Rahmen für die Bewertung des Schweregrads einer Sicherheitslücke.
Dieser Artikel befasst sich mit CVE und CVSS und erklärt, was sie sind und wie sie beim Schwachstellenmanagement helfen.
Was ist ein CVE?
Ein Common Vulnerability and Exposure (CVE) ist eine eindeutige Kennung, die öffentlich bekannten Softwareschwachstellen zugewiesen wird. Dieses Benennungssystem hilft Sicherheitsforschern, Anbietern und Systemadministratoren, bestimmte Schwachstellen leicht zu finden und zu verfolgen. Das CVE-System entstand bei MITRE im Jahr 1999 mit der Einführung der CVE-Liste, die nur 321 Einträge.
Im Jahr 2024 wurden mehr als 25.000 neue Schwachstellen in einem einzigen Jahr veröffentlicht - eine atemberaubende Wachstumsrate, die deutlich macht, welch wichtige Rolle CVEs beim Schwachstellenmanagement spielen. Ohne ein standardisiertes Identifizierungssystem ist es nahezu unmöglich, sie zu unterscheiden und effektiv zu verfolgen. Es ist jedoch wichtig zu wissen, dass nicht alle Schwachstellen mit CVEs gekennzeichnet sind.
Wie werden CVEs zugewiesen?
CVEs werden zugewiesen von den CVE-Nummerierungsbehörden (CNAs)zugewiesen, einer Gruppe, die für die Koordinierung der Zuweisung eindeutiger Kennungen für öffentlich bekannte Schwachstellen zuständig ist. Die CNAs arbeiten eng mit Sicherheitsforschern, Anbietern und anderen Beteiligten zusammen, um Schwachstellen zu identifizieren und zu dokumentieren.
Ein CVE-Bezeichner ist eine eindeutige Textzeichenfolge im Format CVE-Jahr-Zahl. Zum Beispiel bezieht sich CVE-2014-0160 auf die berüchtigte Heartbleed-Schwachstelle. Das "2014" gibt das Jahr an, in dem die CVE veröffentlicht wurde, während "0160" die eindeutige Nummer ist, die der Sicherheitslücke in diesem Jahr zugewiesen wurde. Diese Nummern werden jedes Jahr zurückgesetzt.
Ein CVE-Eintrag kann zugewiesen, aber nicht sofort veröffentlicht werden. Diese Verzögerung ist oft beabsichtigt, um dem ursprünglichen Anbieter oder Softwareentwickler Zeit zu geben, eine Korrektur zu veröffentlichen. Zu dem Zeitpunkt, an dem die CVE-Informationen veröffentlicht werden, ist der Patch oder die Entschärfung in der Regel bereits einsatzbereit, wodurch das Risiko für die Endbenutzer verringert wird.
Was ist CVSS?
Das Common Vulnerability Scoring System (CVSS) ist ein standardisierter Rahmen zur Bewertung des Schweregrads von Schwachstellen. Es wird verwaltet durch das Forum of Incident Response and Security Teams (FIRST)verwaltet wird, weist CVSS einer Schwachstelle eine numerische Punktzahl zu, die ihren Schweregrad angibt. Dies hilft Unternehmen, Schwachstellen auf der Grundlage ihrer CVSS-Scores nach Prioritäten zu ordnen und sich auf die Beseitigung der kritischsten Bedrohungen zu konzentrieren.
Das CVSS-Bewertungssystem
CVSS-Scores reichen von 0,0 bis 10,0, wobei höhere Scores für schwerwiegendere Schwachstellen stehen. Das CVSS-Scoring-System bewertet Schwachstellen auf der Grundlage von drei wichtigen metrischen Gruppen:
Basiswert: Dieser Wert stellt die inhärenten Eigenschaften einer Schwachstelle dar, die im Laufe der Zeit und über verschiedene Umgebungen hinweg konsistent sind. Er umfasst Faktoren wie Angriffskomplexität, erforderliche Berechtigungen, Benutzerinteraktion und potenzielle Auswirkungen.
Zeitliche Bewertung: Dieser Wert berücksichtigt Faktoren, die sich im Laufe der Zeit ändern können, wie z. B. die Verfügbarkeit von Patches, die Reife des Exploit-Codes und die Konfidenzmetrik des Berichts.
Umgebungsbewertung: Dieser Wert spiegelt die spezifischen Merkmale der Zielumgebung wider, wie z. B. das Vorhandensein von Sicherheitskontrollen, den Wert der betroffenen Vermögenswerte und die potenziellen Auswirkungen auf die Unternehmensziele.
CVSS-Scores werden zur Einstufung von Schwachstellen in Schweregrade verwendet:
- 0.0: Keine
- 0,1 - 3,9: Niedrig
- 4.0 - 6.9: Mittel
- 7,0 - 8,9: Hoch
- 9,0 - 10,0: Kritisch
Diese Werte werden oft neben CVE-Einträgen in Datenbanken wie der NVD angezeigt und bieten eine schnelle Momentaufnahme des Risikoniveaus. Die Nationale Datenbank für Sicherheitslücken (NVD) ist ein von der US-Regierung gefördertes Repository, das detaillierte Informationen über öffentlich bekannte Schwachstellen enthält. Sie enthält Beschreibungen von CVEs, die zugehörigen Schwachstellen und potenzielle Schwachstellen.
Die Bedeutung der CVSS-Versionen
Das Common Vulnerability Scoring System (CVSS) hat mehrere Versionen, die neueste ist CVSS 4.0. Im Gegensatz zu CVSS v2.0 und CVSS v3.x besteht es aus vier metrischen Gruppen: Base, Threat, Environmental und Supplemental. Diese Versionen wurden im Laufe der Zeit weiterentwickelt, um die Genauigkeit und Konsistenz der Bewertung von Schwachstellen zu verbessern. Daher kann die CVSS-Version, die zur Bewertung der Schwachstelle herangezogen wird, einen erheblichen Einfluss auf die einer Schwachstelle zugewiesene Punktzahl haben.
So kann eine Schwachstelle beispielsweise nach CVSS 3.0 als "hoch" eingestuft werden, nach CVSS 2.0 jedoch nur als "mittel". Aus diesem Grund ist es wichtig, die CVSS-Version anzugeben, wenn eine Bewertung erwähnt wird, da die Bewertung sonst nicht richtig interpretiert werden kann.
Neuere Versionen von CVSS zielen darauf ab, die Subjektivität bei der Bewertung zu verringern, indem die Berechnungsmethodik verfeinert und klarere Richtlinien eingeführt wurden. Dennoch kann es bei der CVSS-Bewertung immer noch zu einem gewissen Grad an Subjektivität kommen. Sicherheitsanalysten können die Faktoren, die zu einer CVSS-Bewertung beitragen, unterschiedlich gewichten, was zu Unterschieden in der endgültigen Bewertung der verschiedenen CVE-Register führen kann.
Warum CVE und CVSS für Linux-Administratoren wichtig sind
Linux-Betriebssysteme sind in Unternehmensumgebungen weit verbreitet, was sie zu attraktiven Zielen für Angreifer macht. Für Linux-Administratoren und Sicherheitsteams spielen CVE und CVSS eine entscheidende Rolle bei der Identifizierung und Bewertung von Schwachstellen. Durch die Kombination von CVE-IDs und CVSS-Scores können sie die kritischsten Schwachstellen effektiv priorisieren und angehen. Dies ermöglicht nicht nur ein effizientes Schwachstellenmanagement, sondern vereinfacht auch die Einhaltung von Vorschriften und Sicherheitsstandards.
Doch selbst mit CVE-Verfolgung und CVSS-Priorisierung besteht eine der größten Herausforderungen für Linux-Administratoren darin, Patches zeitnah anzuwenden, ohne den Betrieb zu unterbrechen. Herkömmliche Patching-Methoden erfordern häufig einen Neustart des Systems, was zu Ausfallzeiten und Serviceunterbrechungen führt. Live-Patching löst diese Herausforderung, indem es die Bereitstellung von Kernel-Patches ohne Neustart des Systems ermöglicht.
KernelCare Enterprise von TuxCare bietet eine automatisierte Live-Patching-Lösung für Linux-Distributionen, mit der Sie Sicherheitsupdates sofort anwenden können, ohne dass ein Neustart erforderlich ist. Durch die Eliminierung von Ausfallzeiten reduziert KernelCare das Zeitfenster, in dem Schwachstellen auftreten können, und behebt wichtige betriebliche Probleme bei gleichzeitiger Verbesserung der Sicherheit und Compliance.
Abschließende Überlegungen
CVEs bieten eine standardisierte Methode zur Identifizierung und Verfolgung von Sicherheitsrisiken, während CVSS eine klare numerische Bewertung des Schweregrads dieser Schwachstellen bietet. Die Transparenz und die verwertbaren Erkenntnisse, die CVE- und CVSS-Scores bieten, sind von unschätzbarem Wert für die Aufrechterhaltung der Systemsicherheit und der Compliance. Durch die Nutzung dieser Frameworks mit Live-Patching-Tools wie KernelCare Enterprisekönnen Unternehmen effektiv Risiken mindern, die Sicherheit erhöhen und die Einhaltung von Industriestandards gewährleisten.
