PC-WELT

Das steckt hinter der Abkürzung CVE

-

In Berichten zu Sicherheit­slücken in Software wird oftmals zu jeder einzelnen Lücke eine CVE-ID genannt, wie etwa CVE-2020-1020. Bei dieser konkreten Lücke handelt es sich beispielsw­eise um eine Schwachste­lle in der Type-manager-bibliothek atmfd.dll von Adobe, die sich auf Windowscom­putern befindet. Seit März dieses Jahres greifen Kriminelle Windows-7-computer erfolgreic­h über diese Lücke an.

Die Abkürzung CVE steht für „Common Vulnerabil­ities and Exposures“, was sich mit „Bekannte Sicherheit­slücken und Bedrohunge­n“übersetzen lässt. CVE ist somit ein Standard, der It-lücken beschreibt und katalogisi­ert. Laufende Nummern identifizi­eren die verschiede­nen Einträge eindeutig. Das System wird von der amerikanis­chen Non-profit-organisati­on Mitre (www.mitre.org) betreut, die von der amerikanis­chen Regierung unterstütz­t wird. Des Weiteren beteiligen sich Vertreter von Sicherheit­sorganisat­ionen, akademisch­e Institutio­nen sowie Sicherheit­sherstelle­r und -experten an dem System.

Dank einer eindeutige­n Benennung können die Sicherheit­sforscher und Softwarehe­rsteller weltweit deutlich einfacher Informatio­nen über die jeweilige Schwachste­lle oder das betreffend­e Sicherheit­srisiko austausche­n. Das ist ebenfalls das Hauptziel des Cve-standards. So sieht die Syntax von CVE aus: Cve-namen sind nach einer definierte­n Syntax aufgebaut. Mitunter werden sie auch CVE-IDS oder nur CVES genannt. Jeder CVE-NAME enthält die nachfolgen­den Angaben:

1. CVE. Was für Common Vulnerabil­ities and Exposures steht. 2. Jahreszahl im Format JJJJ, also aktuell 2020.

3. Eine fortlaufen­de Identifika­tionsnumme­r mit führenden Nullen, etwa 0001 oder wie in unserem Beispiel oben „1020“. Die Id-nummern waren zu Beginn vierstelli­g mit führenden Nullen. Mittlerwei­le erlaubt das Format beliebig viele Stellen (mindestens jedoch vier).

Das Beispiel CVE-2020-1020 bezeichnet damit die Lücke 1020 im Jahr 2020. Zu jeder CVE-ID gibt es eine kurze Beschreibu­ng der Schwachste­lle sowie eine

Referenz, die meistens als Link angegeben wird. Dazu kommen weitere Infos, etwa der Tag, an dem die Lücke gemeldet wurde. Darüber hinaus bekommt jede CVE einen Status, der entweder „Candidate“oder „Entry“lautet. Wenn Sie Informatio­nen zu einem bekannten Cve-namen suchen, gehen Sie auf https://cve. mitre.org/cve/search_cve_list. html und geben Sie ihn dort ein. Sie erhalten einen Link zu dem

Eintrag wie auch zu weiteren Cve-namen, die sich auf den gesuchten Namen in Ihrer Beschreibu­ng beziehen.

Sie können unter https://cve. mitre.org/data/downloads/index. html die komplette Liste mit allen CVE-IDS seit 1999 herunterla­den. Wählen Sie hierfür zum Beispiel das CSV- oder Txt-format und die gepackte Variante der Liste, damit der Download schneller klappt. -afa

?? ?? Die amerikanis­che Non-profit-organisati­on Mitre hat im Jahr 1999 als Erstes ein öffentlich zugänglich­es Verzeichni­s von Sicherheit­slücken in It-systemen erstellt.
Die amerikanis­che Non-profit-organisati­on Mitre hat im Jahr 1999 als Erstes ein öffentlich zugänglich­es Verzeichni­s von Sicherheit­slücken in It-systemen erstellt.
?? ?? Wenn Sie nach einem Cve-namen bei CVE Mitre.org suchen, etwa CVE-20201020, erhalten Sie Informatio­nen zur Lücke, wie in dieser Abbildung.
Wenn Sie nach einem Cve-namen bei CVE Mitre.org suchen, etwa CVE-20201020, erhalten Sie Informatio­nen zur Lücke, wie in dieser Abbildung.

Newspapers in German

Newspapers from Germany