• IT-Karriere:
  • Services:

Schwachstellen mit unklarer Auswirkung

Eine Meldung vom 25. Juli 2019 bezieht sich auf den Linux-Kernel: "Schwachstelle ermöglicht Privilegieneskalation" heißt es dort. Von einer Privilegieneskalation spricht man üblicherweise, wenn ein Nutzer seine Rechte ausweiten kann, also wenn beispielsweise ein gewöhnlicher Nutzer Root-Rechte erlangen kann. Solche Lücken gibt es im Linux-Kernel tatsächlich immer wieder und für Administratoren von Multi-User-Systemen ist es wichtig, diese schnell zu schließen.

Stellenmarkt
  1. USP SUNDERMANN CONSULTING Unternehmens- und Personalberatung, Fürth
  2. Deloitte, Berlin, Düsseldorf, Frankfurt am Main, München

Der nicht direkt verlinkte Patch und dessen Erklärung verraten uns etwas mehr. Zunächst einmal handelt es sich um einen Fehler in einem USB-Gerätetreiber für ein Tablet. Das ist zur Einschätzung relevant, denn das bedeutet, dass der Fehler nur durch ein bösartiges USB-Gerät ausgenutzt werden kann. Davon steht beim Cert-Bund nichts.

Der Fehler selbst ist ein Buffer Overflow, bei dem allerdings nur 2 Byte überschrieben werden und der Angreifer auch deren Inhalt nicht kontrollieren kann. Ist es möglich, damit eine Privilegieneskalation zu erreichen? Völlig ausschließen kann man es nicht - es gab schon Fälle, in denen ein einzelnes, mit null überschriebenes Byte praktisch ausgenutzt werden konnte - aber es erscheint zumindest fragwürdig.

Eine weitere Meldung vom 25. Juli bezieht sich auf das Content-Management-System Drupal. "Drupal: Mehrere Schwachstellen" heißt es dazu schlicht in der Überschrift. "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder vertrauliche Daten einzusehen", heißt es später im Text.

Drei Security-Advisories von Drupal sind verlinkt. Was die Meldung des Cert-Bund nicht erwähnt: Bei allen dreien handelt es sich um Sicherheitslücken in Erweiterungen, nicht um Lücken in Drupal selbst.

Sind das alles Einzelfälle? Wohl kaum, alle von uns genannten Beispiele stammen von lediglich zwei Tagen. Es ist vielmehr ein systematisches Problem: Die Meldungen des Cert-Bund übertreiben regelmäßig die Gefährlichkeit von Sicherheitslücken, sie lassen wichtige Informationen weg, welche für die Einschätzung relevant sind und sie kommen zu unbegründeten Schlussfolgerungen.

Wir haben das Cert-Bund gefragt, wie es bei den hier aufgeführten Meldungen zu seiner Einschätzung kam. Eine Antwort haben wir nicht erhalten. In einer Twitter-Diskussion verweist das Cert-Bund jedoch auf eine Seite, auf der es heißt: "Beachten Sie bitte, dass die Informationen teilweise nicht verifiziert sind und daher unter Umständen unvollständig oder auch fehlerhaft sein können." Im Klartext: Als seriöse Quelle taugen diese Meldungen nicht.

Das Cert-Bund ist damit nicht alleine. Meldungen über Sicherheitslücken, deren Informationsgehalt bestenfalls fragwürdig ist, werden von zahlreichen Institutionen verbreitet. Dabei tritt ein Problem deutlich zutage: Es werden tagtäglich Sicherheitslücken behoben, bei denen oft völlig unklar ist, wie gefährlich sie sind.

Gefährlichkeit einer Lücke oft schwer einschätzbar

Insbesondere bei Fehlern im Speichermanagement ist es oft extrem aufwendig, überhaupt einzuschätzen, ob eine Lücke praktisch ausnutzbar ist. Derartige Fehler zu finden und auch zu beheben, ist dabei oft der geringste Aufwand. Doch Ankündigungen wie die des Cert-Bund und auch Datenbanken wie die CVE-Datenbank der Firma Mitre erwecken den Eindruck, dass eine seriöse Einschätzung über die Auswirkungen von Lücken vorliegt.

In den meisten Fällen wäre die ehrlichste Antwort: Wie gefährlich eine Lücke ist, welche Auswirkungen sie hat, wissen wir nicht. Natürlich sollte man auch solche Lücken schließen und Updates einspielen. Aber diese Alltagslücken haben im Grunde keinen Nachrichtenwert.

Doch Meldungen von einer Institution wie dem Cert-Bund werden von manchen Medien als scheinbar seriöse Quelle betrachtet und gerne als Quelle für Meldungen verwendet. Schließlich handelt es sich um eine staatliche Institution, von der man verlässliche Informationen erwartet. Und dann entstehen völlig unsinnige Medienberichte wie die über die VLC-Lücke. Es ist gut, dass die VLC-Entwickler auf diesen Missstand hingewiesen haben.

Nachtrag vom 30. Juli 2019, 14:05 Uhr

Kurz nach Veröffentlichung des Artikels erreichte uns eine Antwort des BSI. Darin wurden zwar unsere Fragen zu den einzelnen Meldungen nicht beantwortet, das BSI erläutert aber seine Praxis bei den Cert-Bund-Kurzmeldungen folgendermaßen:

Zu Ihrer Anfrage kann ich Ihnen als ein Sprecher des BSI mitteilen, dass der Warn- und Informationsdienst von Cert-Bund sich in seiner Funktionalität vorrangig an die IT-Sicherheitsbeauftragten der Bundesbehörden richtet. Diese haben Zugriff auf so genannte Advisories, die Sicherheitslücken und vor allem Handlungsempfehlungen ausführlicher erläutern. Wegen des Subsidiaritätsprinzips dürfen diese Advisories nicht der Öffentlichkeit zur Verfügung gestellt werden. Die Kurzinformationen sind also stark eingeschränkte Informationen zu Sicherheitslücken. Die Details, die Sie in Ihren Fragen ansprechen, sind somit in Kurzinformationen aus wettbewerbsrechtlichen Gründen nicht enthalten. Die Ermittelung der Risikostufe der Kurzinfos erfolgt gemäß der Beschreibung, die Sie auf unserer Webseite unter https://www.cert-bund.de/risk finden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 0,99€
  2. 3,61€
  3. 80,99€
  4. (-20%) 39,99€

FreiGeistler 05. Nov 2019

Die Grenze zwischen Heldentum und Dummheit ziehen wir wohl an unterschiedlicher Stelle.

FreiGeistler 04. Nov 2019

Und denkt doch an die Kinder! Sorry, passte so schön. Oettinger, bist du's?

ldlx 01. Aug 2019

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

gadthrawn 31. Jul 2019

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
DSGVO: Kommunen verschlüsseln fast nur mit De-Mail
DSGVO
Kommunen verschlüsseln fast nur mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Digitale Versorgung Viel Kritik an zentraler Sammlung von Patientendaten
  2. Datenschutz Zahl der Behördenzugriffe auf Konten steigt
  3. Verschlüsselung Regierungen wollen Backdoors in Facebook für Untersuchungen

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

Bosch-Parkplatzsensor im Test: Ein Knöllchen von LoRa
Bosch-Parkplatzsensor im Test
Ein Knöllchen von LoRa

Immer häufiger übernehmen Sensoren die Überwachung von Parkplätzen. Doch wie zuverlässig ist die Technik auf Basis von LoRa inzwischen? Golem.de hat einen Sensor von Bosch getestet und erläutert die Unterschiede zum Parking Pilot von Smart City System.
Ein Test von Friedhelm Greis

  1. Automated Valet Parking Daimler und Bosch dürfen autonom parken
  2. Enhanced Summon Teslas sollen künftig ausparken und vorfahren

    •  /