Du musst Regestriert sein, um das angehängte Bild zusehen.
In den letzten Monaten hat die Anzahl der pro Woche veröffentlichten Kernel-CVEs auf rund 55 zugenommen, was auch die führenden Unternehmen der Linux-Branche vor Herausforderungen stellt und zu verstärkter Zusammenarbeit sowie der Einführung neuer Tools zwingt.Seit Februar klagen Administratoren und Entwickler zunehmend über die steigende Anzahl von Sicherheitslücken im Linux-Kernel.
Während sie in der Vergangenheit nur mit etwa vier bis sechs Lücken pro Woche umgehen mussten, hat sich diese Zahl seit Februar mehr als verzehnfacht.
Einige prominente Kernel-Entwickler vertreten die Ansicht, dass die Fülle an CVE-Kennzeichnungen eine positive Entwicklung darstellt und darauf hinweist, dass Distributoren, die über die Situation klagen, zuvor die Sicherheitsproblematik möglicherweise nicht ernst genug genommen haben.
Einige große Unternehmen haben erkannt, dass Maßnahmen erforderlich sind, um die Situation für sich und ihre Kunden zu verbessern.
Dies könnte sich auch langfristig positiv auf Hobby-Administratoren auswirken.
Allerdings wird deutlich, dass aufgrund des hohen Arbeitsaufwands in verschiedenen Bereichen einige Zeit vergehen könnte, bis dies umgesetzt ist.
Über 3000 CVEs seit Februar
Die veränderte Lage ist auf die Entwickler des Linux-Kernels zurückzuführen.Nach jahrelanger Vernachlässigung von CVE-Kennzeichnungen haben sie Anfang des Jahres beschlossen, die Vergabe von CVEs für den Linux-Kernel selbst zu übernehmen, um die Kontrolle darüber zu behalten.
Seit Februar wurden rund 3375 CVE-Kennzeichnungen vergeben, wobei einige nach Einsprüchen zurückgezogen wurden.
Es gibt jedoch Kritik daran, dass einige der verbleibenden CVEs ungerechtfertigt seien, da sie angeblich keine echten Schwachstellen behoben hätten.
CVEs für jede potenzielle Schwachstelle
Greg Kroah-Hartman, einer der Hauptverantwortlichen für die CVE-Vergabe, betont, dass jeder potenziellen Schwachstelle eine CVE-Kennzeichnung zugewiesen werden muss, um den Sicherheitsrichtlinien zu entsprechen.Er weist darauf hin, dass aufgrund der vielfältigen Anwendungen von Linux eine scheinbar harmlose Korrektur in bestimmten Einsatzgebieten dennoch sicherheitsrelevant sein kann.
Die Herausforderung der CVE-Vergabe
Die Vergabe von CVEs erfolgt nach einem öffentlichen Review-Prozess, bei dem drei involvierte Entwickler ihre Zustimmung geben müssen.Die eigentlichen Programmierer oder Maintainer sind jedoch oft nicht in diesen Prozess involviert.
Greg Kroah-Hartman empfiehlt nach wie vor die Verwendung der neuesten stabilen Kernel-Versionen, um bekannte Sicherheitslücken zu vermeiden.
Zusammenarbeit durch Threat Models
Es wird diskutiert, verschiedene Bedrohungsmodelle zu definieren, um die Zusammenarbeit bei der Bewertung von CVEs zu erleichtern.Firmen könnten in Kooperation festlegen, welche CVEs für bestimmte Bedrohungsmodelle relevant sind, anstatt dies individuell zu handhaben.
Dies könnte zu einer effizienteren Bearbeitung der CVEs führen und die Sicherheit insgesamt verbessern.
Herausforderungen für flexible Enterprise-Linux-Varianten
Die Einstufung von CVEs stellt besonders für Unternehmen, die auf Enterprise-Linux setzen, eine große Herausforderung dar.Der hohe Aufwand bei der Überprüfung und Implementierung der CVE-Fixes könnte dazu führen, dass niemand bereit ist, diese Arbeit zu übernehmen.
Es wird auch über das Fehlen von Open-Source-Tools diskutiert, die überprüfen können, ob betroffener Code im Kernel vorhanden ist.
Insgesamt zeigt sich, dass die steigende Anzahl von CVEs im Linux-Kernel die Branche vor neue Herausforderungen stellt und verstärkte Zusammenarbeit sowie innovative Lösungen erfordert, um die Sicherheit zu gewährleisten.
Was bedeutet CVE?
CVE, kurz für Common Vulnerabilities and Exposures (Häufige Schwachstellen und Risiken), ist eine Liste mit öffentlichen Sicherheitsschwachstellen in Computersystemen.Mit CVE ist eine bestimmte Schwachstelle gemeint, der eine CVE-Nummer zugewiesen ist.
In Sicherheitshinweisen von Anbietern und Forschenden wird fast immer mindestens eine CVE-Nummer erwähnt.
Mithilfe von CVEs können IT-Fachleute solche Schwachstellen leichter priorisieren und beheben, um Computersysteme sicherer zu machen.
