Jump to section

Was bedeutet CVE?

Veröffentlicht 25. November 2021
URL kopieren

Überblick

CVE, kurz für Common Vulnerabilities and Exposures (Häufige Schwachstellen und Risiken), ist eine Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen. Mit CVE ist eine bestimmte Schwachstelle gemeint, der eine CVE-Nummer zugewiesen ist.

In Sicherheitshinweisen von Anbietern und Forschenden wird fast immer mindestens eine CVE-Nummer erwähnt. Mithilfe von CVEs können IT-Fachleute solche Schwachstellen leichter priorisieren und beheben, um Computersysteme sicherer zu machen.

Mehr Sicherheit in der Hybrid Cloud

Zu lang, nicht gelesen

Keine Lust zu lesen? Dann sehen Sie sich dieses kurze Video über CVE an.

Wie funktioniert das CVE-System?

Das CVE-Programm steht unter der Aufsicht der MITRE Corporation und wird von der Cybersecurity and Infrastructure Security Agency (CISA) finanziert, die zum U.S. Department of Homeland Security gehört.

CVE-Einträge sind sehr kurz. Sie enthalten keinerlei technische Daten oder Infos zu Risiken, Auswirkungen und Fixes. Diese Details werden in anderen Datenbanken angezeigt, u. a. in der U.S. National Vulnerability Database (NVD), der CERT/CC Vulnerability Notes Database und in verschiedenen von Anbietern und anderen Organisationen gepflegten Listen.

In diesen verschiedenen Systemen bieten CVE-Nummern den Nutzenden eine zuverlässige Möglichkeit, eindeutige Schwachstellen zu erkennen und die Entwicklung von Sicherheitstools und -lösungen zu koordinieren. Die MITRE Corporation verwaltet die CVE-Liste, aber eine Schwachstelle, die zu einem CVE-Eintrag wird, wird oft von Organisationen und Mitgliedern der Open Source Community gemeldet.

Über CVE-Nummern

CVE-Nummern werden von einer CVE Numbering Authority (CNA) zugewiesen. Es gibt etwa 100 CNAs, die wichtige IT-Anbieter – wie Red Hat, IBM, Cisco, Oracle und Microsoft – sowie Sicherheitsfirmen und Forschungseinrichtungen umfassen. Außerdem können CVE-Nummern direkt von MITRE ausgegeben werden.

Den CNAs werden CVE-Nummernblöcke zugewiesen, die dann bei Bedarf neuen Schwachstellen zugeordnet werden können. Jedes Jahr werden Tausende von CVE-Nummern vergeben. Ein einzelnes komplexes Produkt wie ein Betriebssystem kann Hunderte von CVE-Nummern enthalten.

CVE-Meldungen können aus vielen Quellen stammen. So können Schwachstellen von Anbietern, Forschenden oder auch fachkundigen Nutzenden entdeckt und gemeldet werden. Viele Anbieter vergeben sogenannte Bug-Prämien, um die Offenlegung von Schwachstellen zu fördern. Wenn Sie also eine Schwachstelle in Open Source-Software finden, sollten Sie diese der jeweiligen Community melden.

Auf diese Weise finden Infos zu Schwachstellen stets ihren Weg zu einer CNA. Die CNA wiederum weist diesen Daten eine CVE-Nummer zu und verfasst eine Kurzbeschreibung mit Referenzen. Danach wird der neue CVE-Eintrag auf der CVE-Website veröffentlicht.

Häufig werden CVE-Nummern vergeben, bevor ein Sicherheitshinweis veröffentlicht wird. Anbieter halten Sicherheitsschwachstellen außerdem oft geheim, bis Fixes entwickelt und getestet wurden. Auf diese Weise wird das Risiko einer Attacke auf Sicherheitsschwachstellen, die bis dato noch ohne Patch sind, verringert.

Sobald CVE-Einträge veröffentlicht wurden, werden ihnen CVE-Nummern (im Format CVE-2019-1234567) sowie eine kurze Beschreibung der Sicherheitsschwachstelle mit Referenzen hinzugefügt, die Links zu Schwachstellenmeldungen und Beratungsstellen enthalten können.

Welche Kriterien muss eine CVE erfüllen?

CVE-Nummern werden Schwachstellen zugewiesen, wenn diese mehrere spezielle Kriterien erfüllen. Sie müssen:

1. Unabhängig behebbar sein:

Die Schwachstelle kann unabhängig von anderen Bugs behoben werden.

2. Vom betroffenen Anbieter bestätigt ODER dokumentiert worden sein:

Der Software- oder Hardwareanbieter bestätigt, dass die Schwachstelle existiert und die Sicherheit beeinträchtigt. Oder die meldende Person muss eine Schwachstellenmeldung geteilt haben, die die negativen Auswirkungen der Schwachstelle demonstriert, UND bestätigt haben, dass sie die Sicherheitsrichtlinien des betroffenen Systems verletzt.

3. Auswirkungen auf eine Codebase haben:

Schwachstellen, die mehr als ein Produkt beeinträchtigen, erhalten separate CVE-Nummern. Bei geteilten Bibliotheken, Protokollen oder Standards erhält die Schwachstelle nur dann eine gemeinsame CVE-Nummer, wenn die Verwendung des geteilten Codes in allen Fällen dieselbe Schwachstelle verursacht. Ansonsten erhält jede betroffene Codebase oder jedes Produkt eine separate CVE-Nummer.

Nach https://cve.mitre.org/cve/cna/rules.html#Section_4_1_qualifications

Weitere Infos zur Sicherheit bei Red Hat

Was ist das Common Vulnerability Scoring System (CVSS)?

Der Schweregrad einer Schwachstelle lässt sich auf vielerlei Weise bestimmen. Eine Möglichkeit ist das Common Vulnerability Scoring System (CVSS), das aus mehreren offenen Standards besteht, mit denen eine Zahl zur Festlegung eines Schweregrads zugewiesen wird. CVSS-Scores werden von der NVD, CERT und anderen verwendet, um die Auswirkungen von Schwachstellen zu beurteilen. Die Punkteskala reicht von 0,0 bis 10,0, wobei der Schweregrad mit der Zahl zunimmt. Viele Sicherheitsanbieter haben außerdem ihr eigenes Punktesystem entwickelt.

3 wichtige Schlussfolgerungen 

Prüfen Sie Ihre Bereitstellungen: Nur, weil ein CVE-Eintrag existiert, heißt das noch lange nicht, dass das damit verbundene Risiko auf Ihre spezifische Umgebung oder Bereitstellung zutrifft. Lesen Sie deshalb jeden CVE-Eintrag sorgfältig durch, um zu verstehen, ob dieser (auch in Teilen) auf Ihre individuelle Umgebung, das Betriebssystem, Anwendungen, Module und Konfigurationen zutrifft.

Praktizieren Sie Schwachstellenmanagement: Schwachstellenmanagement umfasst wiederholbare Prozesse zur Identifizierung, Klassifizierung, Priorisierung, Behebung und Minderung von Schwachstellen. Es bedeutet, dass Sie wissen müssen, wie sich ein bestimmtes Risiko auf Ihre Organisation auswirkt, damit Sie ungeklärte Schwachstellen entsprechend priorisieren und beheben können.

Zeigen Sie Kommunikationsbereitschaft: CVEs haben Auswirkungen auf die Systeme Ihrer Organisation, und zwar einerseits wegen der Schwachstellen selbst und andererseits wegen der Ausfallzeiten, die für ihre Behebung anfallen. Kommunizieren und koordinieren Sie dies mit Ihren internen Kunden, und teilen Sie Ihrer Organisation die Schwachstellen samt den zentralen Risikomanagementprozessen mit.

Wie Red Hat mit CVEs arbeitet

Red Hat leistet sehr viele Beiträge zur Open Source-Software und engagiert sich daher fortlaufend in der Sicherheits-Community. Red Hat ist selbst eine CVE Numbering Authority (CNA) und verwendet zur Überwachung von Sicherheitsschwachstellen CVE-Nummern. Red Hat Security unterhält eine offene und häufig aktualisierte Datenbank mit Sicherheits-Updates, die Sie nach CVE-Nummer anzeigen können.

Zur CVE-Datenbank von Red Hat

Was ist die Red Hat Security Data API?

Red Hat Product Security bietet Zugriff auf Sicherheitsrohdaten auf seiner Website Security Data und in einem maschinenlesbaren Format mit der Security Data API.

Zusätzlich zu den Sicherheitsberichten und Metriken, die Red Hat erstellt, können Kunden diese Rohdaten verwenden, um ihre eigenen Metriken für ihre eigenen besonderen Situationen zu erstellen.

Die von der Security Data API bereitgestellten Daten umfassen OVAL-Definitionen (Open Vulnerability and Assessment Language), CVRF-Dokumente (Common Vulnerability Reporting Framework) und CVE-Daten. Die Daten sind im XML- oder JSON-Format verfügbar.

Zur Dokumentation für die Red Hat Data Security API

Weitere Informationen zum Ansatz von Red Hat für Sicherheit und Compliance

Weiterlesen

ARTIKEL

Was ist DevSecOps?

Wenn Sie die Agilität und Reaktionsfähigkeit von DevOps vollständig ausschöpfen möchten, muss die IT-Sicherheit im gesamten Lifecycle Ihrer Apps eine Rolle spielen.

ARTIKEL

Was ist das Besondere an der Cloud-Sicherheit?

Die wichtigsten Sicherheitslücken gefährden sowohl traditionelle IT- als auch Cloud-Systeme. Lernen Sie die Unterscheidungsmerkmale kennen.

ARTIKEL

Was ist SOAR?

SOAR umfasst drei wichtige Software-Funktionen, die Sicherheits-Teams verwenden: Case- und Workflow-Management, Aufgabenautomatisierung sowie eine zentrale Methode, um Bedrohungsinformationen (die so genannte Threat Intelligence) aufzurufen, zu durchsuchen und zu teilen.

Mehr über Sicherheit erfahren

Produkte

Red Hat Certificate System

Ein Sicherheits-Framework, in dem Nutzeridentitäten verwaltet werden und Kommunikation verschlüsselt wird.

Red Hat Advanced Cluster Security Kubernetes

Eine unternehmensfähige, Kubernetes-native Lösung für Container-Sicherheit, mit der Sie cloudnative Anwendungen zuverlässiger entwickeln, bereitstellen und ausführen können.

Red Hat Insights

Ein Service für prädiktive Analytik, mit dem sich Probleme mit der Sicherheit, Performance und Verfügbarkeit Ihrer Red Hat Infrastruktur erkennen und beheben lassen.

Red Hat Advanced Cluster Management Kubernetes

Eine zentrale Konsole mit integrierten Sicherheitsrichtlinien, mit der Sie Kubernetes-Cluster und -Anwendungen verwalten können.

Verwandte Artikel

Ressourcen

E-Book

Vereinfachen Sie Ihr Security Operations Center

Red Hat Blog

Finden Sie mehr zum Thema Sicherheit im Red Hat Blog

Video

Sicherheit und Compliance mit Red Hat: Die Arbeit ist nie getan

Mehr erfahren

WHITEPAPER

Ein mehrschichtiger Sicherheitsansatz für Container und Kubernetes

E-BOOK

State of Kubernetes Security Report 2023

Mehr Sicherheit, bessere Compliance

ÜBERSICHT

Wie Sie eine umfassende DevSecOps-Lösung bereitstellen

Verbesserung der Cyber-Compliance mit Infrastrukturautomatisierung

CHECKLISTE

Wichtige Aspekte der IT-Modernisierung: Sicherheit und Compliance

Sechs Methoden zur Optimierung Ihrer IT-Umgebung

DATENBLATT

Red Hat Insights: Prädiktive Analysen für Red Hat Enterprise Linux