US Kürzungen könnten CVE-Liste stoppen

  • emlix News

Die Common Vulnerabilities and Exposures (CVEs) der MITRE Corporation stellt möglicherweise ihre Arbeit sehr kurzfristig ein, da aufgrund von Sparmaßnahmen der US-Regierung keine Mittel mehr zur Verfügung stehen.

Seitens der MITRE Cooperation werden dann keine CVE Nummern, also eindeutige Kennungen von Schwachstellen mehr vergeben werden.

Weitere Informationen und Erläuterungen hierzu finden Sie unter anderem auf dem heise-Ticker: https://heise.de/-10353326 

Wir werden natürlich den weiteren Verlauf der Ereignisse beobachten und Sie ggf. erneut informieren. 

Was bedeutet das für unseren Service des CVE Security Monitorings? 

Die Bestandsdaten sind vollständig öffentlich verfügbar und an diversen Stellen, u.a. auch bei emlix, gespiegelt. Sollte es dabei bleiben, dass die MITRE die Server nicht abschaltet, würden neue CVE- Einträge voraussichtlich nur noch über die bestehenden CNAs (CVE Numbering Authorities) vergeben werden. Sie verfügen üblicherweise über einen Nummernblock und können weitere Nummernblöcke beantragen. Im Extremfall würde die bisher gebräuchliche CVE-Nummerierung entfallen und eine oder mehrere neue Schemata entstehen, die Sicherheitslücken bezeichnen. 

Die inhaltliche Arbeit, also das Finden und Beheben von Sicherheitslücken sowie das Verfassen der zugehörigen Advisories, findet nicht durch die MITRE Cooperation statt, sondern durch die jeweiligen Hersteller bzw. Projekte und andere Aktive in diesem Bereich. 

Die CNAs verantworten nur die Zuweisung der eindeutigen CVE-Nummer sowie die Pflege der Daten, z.B. die betroffenen Versionen, der von ihnen angelegten Einträge in der zentralen Datenbank. Unter anderem ist die Linux Kernel Community eine bedeutende CNA. Aber auch große Linux-Distributionen wie RedHat, große Tech-Unternehmen (z.B. Google), CPU Hersteller oder Verbände wie der VDE agieren als CNA. 

Die CVE Numbering Authorities können grundsätzlich auch unabhängig von der MITRE Cooperation eine geordnete Verarbeitung von CVEs leisten. Möglicherweise würde die zentrale Instanz verloren gehen. Stattdessen müssten mehrere Sourcen gescannt werden. 

Das emlix CVE Security Monitoring basiert seit Anbeginn dieses Services nicht nur auf der CVE Datenbank der MITRE Cooperation, sondern nutzt seit Jahren auch diverse andere Quellen. 
Diese Diversifikation der Sourcen würde sich im Falle, dass keine Finanzierung der CVE der MITRE Cooperation gefunden wird, deutlich ausbauen. 
Darauf sind wir jedoch strukturell und von unseren Tools und Prozessen her gut vorbereitet. 

Inwieweit eine zentralisierte Bewertung der CVEs durch die National Vulnerability Database (NVD) des National Institute of Standards and Technology (NIST) dann noch durchgeführt werden würde, ist unklar. Gegebenenfalls würde das Assessment der CVEs dann eine noch höhere Bedeutung erlangen. 

Wir werden wie gesagt die Entwicklung weiter beobachten und geeignete Maßnahmen ergreifen. 

Möglicherweise wird es in den kommenden Monaten leichte Verzögerungen bei der Reporterstellung geben, oder wir müssen auf temporäre Lücken in einzelnen Bereichen hinweisen. Darüber werden wir Sie aber selbstverständlich informieren. 

Für Rückfragen stehen wir Ihnen sehr gerne zur Verfügung.

Zurück