Common Vulnerabilities and Exposures
Update: 2024-07-101
Description
In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von
"Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern,
mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher
und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die
Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft
von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und
Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten
wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln
ihre Sicht der Dinge mit dem Holzhammer.
CVE-Datenbanken:
- CVE-Suche von Mitre: https://www.cve.org
- CVE-Suche der NVD: https://nvd.nist.gov/vuln/search
Beispiele für Problem-CVEs
- Curl:
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
& https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/ - PostgreSQL:
https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/ - KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/
- Azure: https://heise.de/-9755370
CVE-Regeln
- Regelwerk für CNAs:
https://www.cve.org/ResourcesSupport/AllResources/CNARules - Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html
- Talk von Greg KH zu CVEs:
https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/
Comments
Top Podcasts
The Best New Comedy Podcast Right Now – June 2024The Best News Podcast Right Now – June 2024The Best New Business Podcast Right Now – June 2024The Best New Sports Podcast Right Now – June 2024The Best New True Crime Podcast Right Now – June 2024The Best New Joe Rogan Experience Podcast Right Now – June 20The Best New Dan Bongino Show Podcast Right Now – June 20The Best New Mark Levin Podcast – June 2024
In Channel