Schwachstellen mit unklarer Auswirkung

Eine Meldung vom 25. Juli 2019 bezieht sich auf den Linux-Kernel: "Schwachstelle ermöglicht Privilegieneskalation" heißt es dort. Von einer Privilegieneskalation spricht man üblicherweise, wenn ein Nutzer seine Rechte ausweiten kann, also wenn beispielsweise ein gewöhnlicher Nutzer Root-Rechte erlangen kann. Solche Lücken gibt es im Linux-Kernel tatsächlich immer wieder und für Administratoren von Multi-User-Systemen ist es wichtig, diese schnell zu schließen.

Stellenmarkt
  1. Funktions- und Softwareentwickler (m/w/d) Ladesysteme E-Mobilität
    Porsche AG, Weissach
  2. Application Engineer (w/m/d) mit Schwerpunkt Abbildung von Prüfungsordnungen
    Universität Passau, Passau
Detailsuche

Der nicht direkt verlinkte Patch und dessen Erklärung verraten uns etwas mehr. Zunächst einmal handelt es sich um einen Fehler in einem USB-Gerätetreiber für ein Tablet. Das ist zur Einschätzung relevant, denn das bedeutet, dass der Fehler nur durch ein bösartiges USB-Gerät ausgenutzt werden kann. Davon steht beim Cert-Bund nichts.

Der Fehler selbst ist ein Buffer Overflow, bei dem allerdings nur 2 Byte überschrieben werden und der Angreifer auch deren Inhalt nicht kontrollieren kann. Ist es möglich, damit eine Privilegieneskalation zu erreichen? Völlig ausschließen kann man es nicht - es gab schon Fälle, in denen ein einzelnes, mit null überschriebenes Byte praktisch ausgenutzt werden konnte - aber es erscheint zumindest fragwürdig.

Eine weitere Meldung vom 25. Juli bezieht sich auf das Content-Management-System Drupal. "Drupal: Mehrere Schwachstellen" heißt es dazu schlicht in der Überschrift. "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder vertrauliche Daten einzusehen", heißt es später im Text.

Golem Karrierewelt
  1. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    09.-13.01.2023, Virtuell
  2. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
Weitere IT-Trainings

Drei Security-Advisories von Drupal sind verlinkt. Was die Meldung des Cert-Bund nicht erwähnt: Bei allen dreien handelt es sich um Sicherheitslücken in Erweiterungen, nicht um Lücken in Drupal selbst.

Sind das alles Einzelfälle? Wohl kaum, alle von uns genannten Beispiele stammen von lediglich zwei Tagen. Es ist vielmehr ein systematisches Problem: Die Meldungen des Cert-Bund übertreiben regelmäßig die Gefährlichkeit von Sicherheitslücken, sie lassen wichtige Informationen weg, welche für die Einschätzung relevant sind und sie kommen zu unbegründeten Schlussfolgerungen.

Wir haben das Cert-Bund gefragt, wie es bei den hier aufgeführten Meldungen zu seiner Einschätzung kam. Eine Antwort haben wir nicht erhalten. In einer Twitter-Diskussion verweist das Cert-Bund jedoch auf eine Seite, auf der es heißt: "Beachten Sie bitte, dass die Informationen teilweise nicht verifiziert sind und daher unter Umständen unvollständig oder auch fehlerhaft sein können." Im Klartext: Als seriöse Quelle taugen diese Meldungen nicht.

Das Cert-Bund ist damit nicht alleine. Meldungen über Sicherheitslücken, deren Informationsgehalt bestenfalls fragwürdig ist, werden von zahlreichen Institutionen verbreitet. Dabei tritt ein Problem deutlich zutage: Es werden tagtäglich Sicherheitslücken behoben, bei denen oft völlig unklar ist, wie gefährlich sie sind.

Gefährlichkeit einer Lücke oft schwer einschätzbar

Insbesondere bei Fehlern im Speichermanagement ist es oft extrem aufwendig, überhaupt einzuschätzen, ob eine Lücke praktisch ausnutzbar ist. Derartige Fehler zu finden und auch zu beheben, ist dabei oft der geringste Aufwand. Doch Ankündigungen wie die des Cert-Bund und auch Datenbanken wie die CVE-Datenbank der Firma Mitre erwecken den Eindruck, dass eine seriöse Einschätzung über die Auswirkungen von Lücken vorliegt.

In den meisten Fällen wäre die ehrlichste Antwort: Wie gefährlich eine Lücke ist, welche Auswirkungen sie hat, wissen wir nicht. Natürlich sollte man auch solche Lücken schließen und Updates einspielen. Aber diese Alltagslücken haben im Grunde keinen Nachrichtenwert.

Doch Meldungen von einer Institution wie dem Cert-Bund werden von manchen Medien als scheinbar seriöse Quelle betrachtet und gerne als Quelle für Meldungen verwendet. Schließlich handelt es sich um eine staatliche Institution, von der man verlässliche Informationen erwartet. Und dann entstehen völlig unsinnige Medienberichte wie die über die VLC-Lücke. Es ist gut, dass die VLC-Entwickler auf diesen Missstand hingewiesen haben.

Nachtrag vom 30. Juli 2019, 14:05 Uhr

Kurz nach Veröffentlichung des Artikels erreichte uns eine Antwort des BSI. Darin wurden zwar unsere Fragen zu den einzelnen Meldungen nicht beantwortet, das BSI erläutert aber seine Praxis bei den Cert-Bund-Kurzmeldungen folgendermaßen:

Zu Ihrer Anfrage kann ich Ihnen als ein Sprecher des BSI mitteilen, dass der Warn- und Informationsdienst von Cert-Bund sich in seiner Funktionalität vorrangig an die IT-Sicherheitsbeauftragten der Bundesbehörden richtet. Diese haben Zugriff auf so genannte Advisories, die Sicherheitslücken und vor allem Handlungsempfehlungen ausführlicher erläutern. Wegen des Subsidiaritätsprinzips dürfen diese Advisories nicht der Öffentlichkeit zur Verfügung gestellt werden. Die Kurzinformationen sind also stark eingeschränkte Informationen zu Sicherheitslücken. Die Details, die Sie in Ihren Fragen ansprechen, sind somit in Kurzinformationen aus wettbewerbsrechtlichen Gründen nicht enthalten. Die Ermittelung der Risikostufe der Kurzinfos erfolgt gemäß der Beschreibung, die Sie auf unserer Webseite unter https://www.cert-bund.de/risk finden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration
  1.  
  2. 1
  3. 2
  4. 3


FreiGeistler 05. Nov 2019

Die Grenze zwischen Heldentum und Dummheit ziehen wir wohl an unterschiedlicher Stelle.

FreiGeistler 04. Nov 2019

Und denkt doch an die Kinder! Sorry, passte so schön. Oettinger, bist du's?

ldlx 01. Aug 2019

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...



Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /