"Passwort" Folge 5: Common Vulnerabilities and Exposures

Eine neue Folge von Passwort ist da und es geht um "Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern, mit denen Sicherheitslücken identifiziert werden. Im Podcast von heise security besprechen die Hosts Christopher und Sylvester, welchen Zweck CVEs eigentlich haben und welche Organisationen hinter dem System stehen.

Vornehmlich geht es allerdings um die Probleme mit dem CVE-System, denn die sind zahlreich und reichen von einer starken US-Zentrierung über mangelhafte Qualitätskontrollen bis zur Fundamentalkritik wichtiger Akteure. Das Qualitätsproblem bedrückt immer mehr Projekte, die sich mit CVE-Meldungen rumschlagen müssen, denen keine echte Sicherheitslücke zugrundeliegt und die nur schwer aus der Welt zu schaffen sind.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden Podcast jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Ein beliebter Trick ist, selbst zur "CVE Numbering Authority" (CNA) zu werden, um CVEs für die eigenen Produkte besser kontrollieren zu können. Diesen Schritt gingen auch die Entwickler des Linux-Kernels, mit Folgen für das gesammte Ökosystem. Denn die Kernelentwickler halten nichts von Kenntzeichnungen für Security-Bugs im Allgemeinen und von CVE-Nummern im Besonderen. Weil sie ihnen aber nicht entkommen können, produzieren sie nun CVEs am Fließband – bis zur Belanglosigkeit der Nummern. Definitiv kein schönes Vorgehen, aber nach den Regeln offenbar erlaubt und vielleicht nachvollziehbar? Christopher und Sylvester sind sich nicht ganz einig, wie man das Verhalten bewerten sollte.

Die fünfte Folge von "Passwort – der heise security Podcast" steht seit dem heutigen Mittwoch zum Download auf allen Podcast-Plattformen bereit.

(syt)