• IT-Karriere:
  • Services:

Schwachstellen mit unklarer Auswirkung

Eine Meldung vom 25. Juli 2019 bezieht sich auf den Linux-Kernel: "Schwachstelle ermöglicht Privilegieneskalation" heißt es dort. Von einer Privilegieneskalation spricht man üblicherweise, wenn ein Nutzer seine Rechte ausweiten kann, also wenn beispielsweise ein gewöhnlicher Nutzer Root-Rechte erlangen kann. Solche Lücken gibt es im Linux-Kernel tatsächlich immer wieder und für Administratoren von Multi-User-Systemen ist es wichtig, diese schnell zu schließen.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Dillingen a.d. Donau
  2. M-IT Lösungen GmbH, Martinsried

Der nicht direkt verlinkte Patch und dessen Erklärung verraten uns etwas mehr. Zunächst einmal handelt es sich um einen Fehler in einem USB-Gerätetreiber für ein Tablet. Das ist zur Einschätzung relevant, denn das bedeutet, dass der Fehler nur durch ein bösartiges USB-Gerät ausgenutzt werden kann. Davon steht beim Cert-Bund nichts.

Der Fehler selbst ist ein Buffer Overflow, bei dem allerdings nur 2 Byte überschrieben werden und der Angreifer auch deren Inhalt nicht kontrollieren kann. Ist es möglich, damit eine Privilegieneskalation zu erreichen? Völlig ausschließen kann man es nicht - es gab schon Fälle, in denen ein einzelnes, mit null überschriebenes Byte praktisch ausgenutzt werden konnte - aber es erscheint zumindest fragwürdig.

Eine weitere Meldung vom 25. Juli bezieht sich auf das Content-Management-System Drupal. "Drupal: Mehrere Schwachstellen" heißt es dazu schlicht in der Überschrift. "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder vertrauliche Daten einzusehen", heißt es später im Text.

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    19./20. April 2021, online
  2. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Drei Security-Advisories von Drupal sind verlinkt. Was die Meldung des Cert-Bund nicht erwähnt: Bei allen dreien handelt es sich um Sicherheitslücken in Erweiterungen, nicht um Lücken in Drupal selbst.

Sind das alles Einzelfälle? Wohl kaum, alle von uns genannten Beispiele stammen von lediglich zwei Tagen. Es ist vielmehr ein systematisches Problem: Die Meldungen des Cert-Bund übertreiben regelmäßig die Gefährlichkeit von Sicherheitslücken, sie lassen wichtige Informationen weg, welche für die Einschätzung relevant sind und sie kommen zu unbegründeten Schlussfolgerungen.

Wir haben das Cert-Bund gefragt, wie es bei den hier aufgeführten Meldungen zu seiner Einschätzung kam. Eine Antwort haben wir nicht erhalten. In einer Twitter-Diskussion verweist das Cert-Bund jedoch auf eine Seite, auf der es heißt: "Beachten Sie bitte, dass die Informationen teilweise nicht verifiziert sind und daher unter Umständen unvollständig oder auch fehlerhaft sein können." Im Klartext: Als seriöse Quelle taugen diese Meldungen nicht.

Das Cert-Bund ist damit nicht alleine. Meldungen über Sicherheitslücken, deren Informationsgehalt bestenfalls fragwürdig ist, werden von zahlreichen Institutionen verbreitet. Dabei tritt ein Problem deutlich zutage: Es werden tagtäglich Sicherheitslücken behoben, bei denen oft völlig unklar ist, wie gefährlich sie sind.

Gefährlichkeit einer Lücke oft schwer einschätzbar

Insbesondere bei Fehlern im Speichermanagement ist es oft extrem aufwendig, überhaupt einzuschätzen, ob eine Lücke praktisch ausnutzbar ist. Derartige Fehler zu finden und auch zu beheben, ist dabei oft der geringste Aufwand. Doch Ankündigungen wie die des Cert-Bund und auch Datenbanken wie die CVE-Datenbank der Firma Mitre erwecken den Eindruck, dass eine seriöse Einschätzung über die Auswirkungen von Lücken vorliegt.

In den meisten Fällen wäre die ehrlichste Antwort: Wie gefährlich eine Lücke ist, welche Auswirkungen sie hat, wissen wir nicht. Natürlich sollte man auch solche Lücken schließen und Updates einspielen. Aber diese Alltagslücken haben im Grunde keinen Nachrichtenwert.

Doch Meldungen von einer Institution wie dem Cert-Bund werden von manchen Medien als scheinbar seriöse Quelle betrachtet und gerne als Quelle für Meldungen verwendet. Schließlich handelt es sich um eine staatliche Institution, von der man verlässliche Informationen erwartet. Und dann entstehen völlig unsinnige Medienberichte wie die über die VLC-Lücke. Es ist gut, dass die VLC-Entwickler auf diesen Missstand hingewiesen haben.

Nachtrag vom 30. Juli 2019, 14:05 Uhr

Kurz nach Veröffentlichung des Artikels erreichte uns eine Antwort des BSI. Darin wurden zwar unsere Fragen zu den einzelnen Meldungen nicht beantwortet, das BSI erläutert aber seine Praxis bei den Cert-Bund-Kurzmeldungen folgendermaßen:

Zu Ihrer Anfrage kann ich Ihnen als ein Sprecher des BSI mitteilen, dass der Warn- und Informationsdienst von Cert-Bund sich in seiner Funktionalität vorrangig an die IT-Sicherheitsbeauftragten der Bundesbehörden richtet. Diese haben Zugriff auf so genannte Advisories, die Sicherheitslücken und vor allem Handlungsempfehlungen ausführlicher erläutern. Wegen des Subsidiaritätsprinzips dürfen diese Advisories nicht der Öffentlichkeit zur Verfügung gestellt werden. Die Kurzinformationen sind also stark eingeschränkte Informationen zu Sicherheitslücken. Die Details, die Sie in Ihren Fragen ansprechen, sind somit in Kurzinformationen aus wettbewerbsrechtlichen Gründen nicht enthalten. Die Ermittelung der Risikostufe der Kurzinfos erfolgt gemäß der Beschreibung, die Sie auf unserer Webseite unter https://www.cert-bund.de/risk finden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Top-Angebote
  1. 2.449,00€
  2. gratis (bis 22.04.)
  3. (u. a. Day 1 Edition PS4/Xbox One für 29,99€, Day 1 Edition PC für 49,99€)
  4. 219,99€ (Release 7.05.)

FreiGeistler 05. Nov 2019

Die Grenze zwischen Heldentum und Dummheit ziehen wir wohl an unterschiedlicher Stelle.

FreiGeistler 04. Nov 2019

Und denkt doch an die Kinder! Sorry, passte so schön. Oettinger, bist du's?

ldlx 01. Aug 2019

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

gadthrawn 31. Jul 2019

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...


Folgen Sie uns
       


Audi E Tron GT Probe gefahren

Der E-Tron GT ist die Oberklasse-Limousine von Audi. Golem.de ist das Elektroauto Probe gefahren.

Audi E Tron GT Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /