Was ist eigentlich: eine CVE (Common Vulnerabilities and Exposures)?

Was ist eigentlich eine CVE?: Das Akronym CVE steht für „Common Vulnerabilities and Exposures“ (deutsch: Gemeinsame Schwachstellen und Gefährdungen). Es handelt sich um eine öffentlich zugängliche Liste von bekannten Sicherheitslücken in Software und Hardware. Jeder Eintrag in der CVE-Datenbank wird durch eine eindeutige Kennung, die CVE-ID, identifiziert.

Ein CVE Eintrag setzt sich dabei wie folgt zusammen: CVE-JAHR-ID
CVE-2014-0160 ist beispielsweise die zugeordnete ID zur sogenannten Heartbleed Sicherheitslücke. Wie an dem CVE Eintrag erkennbar ist, wurde dieser Eintrag 2014 vorgenommen und 0160 ist die fortlaufende Nummer aus dem Jahr 2014.

Die CVE-Liste wird von der „MITRE Corporation“ verwaltet und dient dazu, Schwachstellen in verschiedenen Systemen und Anwendungen zu verfolgen, zu identifizieren und zu dokumentieren. Durch die standardisierte Benennung können Sicherheitsforscher, Entwickler und Organisationen leicht auf Informationen zu bestimmten Schwachstellen zugreifen und ihre Systeme entsprechend schützen. In Berichten von Penetrationstests wird bei bekannten Sicherheitslücken häufig auf die CVE-ID verwiesen.

Wenn eine Sicherheitslücke identifiziert wird, kann sie eine CVE-ID zugewiesen bekommen, die dann in Sicherheitsberichten, Datenbanken und anderen Ressourcen verwendet wird, um einheitlich über diese Schwachstelle zu sprechen. Dies trägt dazu bei, die Kommunikation und den Austausch von Informationen über Sicherheitsbedrohungen zu verbessern.

Meldung einer Sicherheitslücke mit Registrierung einer CVE

Wenn jemand eine Sicherheitslücke entdeckt, sollte er verantwortungsbewusst mit der Offenlegung der Information umgehen. Der übliche Prozess für die Meldung einer Sicherheitslücke und die Zuweisung einer CVE-ID sieht in etwa folgendermaßen:

1. 1. Kontakt mit dem Hersteller oder Anbieter aufnehmen: Der Entdecker der Sicherheitslücke sollte den Hersteller oder Anbieter der betroffenen Software oder Hardware kontaktieren, um ihm die Details der Schwachstelle mitzuteilen. Dies kann in der Regel über einen speziellen Sicherheitskontakt oder das Support-Team des Unternehmens erfolgen.
   2. Vertrauliche Offenlegung: Es ist oft ratsam, die Sicherheitslücke vertraulich zu melden, um dem Hersteller Zeit zu geben, eine Lösung zu entwickeln und bereitzustellen, bevor die Information öffentlich gemacht wird. Dieser Zeitraum wird als „Vertraulichkeitsfrist“ oder „Responsible Disclosure“ bezeichnet.
   3. Zusammenarbeit mit dem Hersteller: Der Entdecker arbeitet mit dem Hersteller zusammen, um die Schwachstelle zu verstehen, zu beheben und eine angemessene Lösung zu entwickeln.
   4. Zuweisung einer CVE-ID: Wenn die Schwachstelle behoben ist oder wenn der Hersteller dies wünscht, kann der Entdecker eine CVE-ID für die Sicherheitslücke beantragen. Dies geschieht normalerweise durch Kontaktaufnahme mit der CVE-Zuweisungsstelle, die von der MITRE Corporation verwaltet wird. Es gibt darüber hinaus große Unternehmen, welche selbst CVE-IDs vergeben können – diese werden auch CNAs (CVE Numbering Authorities) genannt.
   5. Veröffentlichung der Information: Nachdem die Sicherheitslücke behoben wurde und/oder eine angemessene Zeitspanne für die Vertraulichkeitsfrist verstrichen ist, kann die Information öffentlich gemacht werden. Dies kann in Form eines Sicherheitsberichts, eines Blogbeitrags oder einer anderen öffentlichen Mitteilung geschehen.

Es ist wichtig zu beachten, dass eine verantwortungsbewusste Offenlegung sicherstellt, dass die Schwachstelle angemessen behandelt wird, bevor sie der breiten Öffentlichkeit bekannt wird, um mögliche Auswirkungen zu minimieren.

Bei simplisec arbeiten wir auch mit CVEs und kennzeichnen in Berichten bekannte Schwachstellen. Darüber hinaus haben wir unbekannte Schwachstellen verantwortlich offengelegt, sodass diese auch CVEs erhalten haben. Wenn Sie Interesse an einem der Penetrationstest oder einzelnen Schritten haben, besuchen Sie gern unsere Serviceseite zu Penetrationstests.