Abo
  • IT-Karriere:

Schwachstellen mit unklarer Auswirkung

Eine Meldung vom 25. Juli 2019 bezieht sich auf den Linux-Kernel: "Schwachstelle ermöglicht Privilegieneskalation" heißt es dort. Von einer Privilegieneskalation spricht man üblicherweise, wenn ein Nutzer seine Rechte ausweiten kann, also wenn beispielsweise ein gewöhnlicher Nutzer Root-Rechte erlangen kann. Solche Lücken gibt es im Linux-Kernel tatsächlich immer wieder und für Administratoren von Multi-User-Systemen ist es wichtig, diese schnell zu schließen.

Stellenmarkt
  1. BWI GmbH, Schortens
  2. Hessisches Ministerium für Soziales und Integration, Wiesbaden

Der nicht direkt verlinkte Patch und dessen Erklärung verraten uns etwas mehr. Zunächst einmal handelt es sich um einen Fehler in einem USB-Gerätetreiber für ein Tablet. Das ist zur Einschätzung relevant, denn das bedeutet, dass der Fehler nur durch ein bösartiges USB-Gerät ausgenutzt werden kann. Davon steht beim Cert-Bund nichts.

Der Fehler selbst ist ein Buffer Overflow, bei dem allerdings nur 2 Byte überschrieben werden und der Angreifer auch deren Inhalt nicht kontrollieren kann. Ist es möglich, damit eine Privilegieneskalation zu erreichen? Völlig ausschließen kann man es nicht - es gab schon Fälle, in denen ein einzelnes, mit null überschriebenes Byte praktisch ausgenutzt werden konnte - aber es erscheint zumindest fragwürdig.

Eine weitere Meldung vom 25. Juli bezieht sich auf das Content-Management-System Drupal. "Drupal: Mehrere Schwachstellen" heißt es dazu schlicht in der Überschrift. "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder vertrauliche Daten einzusehen", heißt es später im Text.

Drei Security-Advisories von Drupal sind verlinkt. Was die Meldung des Cert-Bund nicht erwähnt: Bei allen dreien handelt es sich um Sicherheitslücken in Erweiterungen, nicht um Lücken in Drupal selbst.

Sind das alles Einzelfälle? Wohl kaum, alle von uns genannten Beispiele stammen von lediglich zwei Tagen. Es ist vielmehr ein systematisches Problem: Die Meldungen des Cert-Bund übertreiben regelmäßig die Gefährlichkeit von Sicherheitslücken, sie lassen wichtige Informationen weg, welche für die Einschätzung relevant sind und sie kommen zu unbegründeten Schlussfolgerungen.

Wir haben das Cert-Bund gefragt, wie es bei den hier aufgeführten Meldungen zu seiner Einschätzung kam. Eine Antwort haben wir nicht erhalten. In einer Twitter-Diskussion verweist das Cert-Bund jedoch auf eine Seite, auf der es heißt: "Beachten Sie bitte, dass die Informationen teilweise nicht verifiziert sind und daher unter Umständen unvollständig oder auch fehlerhaft sein können." Im Klartext: Als seriöse Quelle taugen diese Meldungen nicht.

Das Cert-Bund ist damit nicht alleine. Meldungen über Sicherheitslücken, deren Informationsgehalt bestenfalls fragwürdig ist, werden von zahlreichen Institutionen verbreitet. Dabei tritt ein Problem deutlich zutage: Es werden tagtäglich Sicherheitslücken behoben, bei denen oft völlig unklar ist, wie gefährlich sie sind.

Gefährlichkeit einer Lücke oft schwer einschätzbar

Insbesondere bei Fehlern im Speichermanagement ist es oft extrem aufwendig, überhaupt einzuschätzen, ob eine Lücke praktisch ausnutzbar ist. Derartige Fehler zu finden und auch zu beheben, ist dabei oft der geringste Aufwand. Doch Ankündigungen wie die des Cert-Bund und auch Datenbanken wie die CVE-Datenbank der Firma Mitre erwecken den Eindruck, dass eine seriöse Einschätzung über die Auswirkungen von Lücken vorliegt.

In den meisten Fällen wäre die ehrlichste Antwort: Wie gefährlich eine Lücke ist, welche Auswirkungen sie hat, wissen wir nicht. Natürlich sollte man auch solche Lücken schließen und Updates einspielen. Aber diese Alltagslücken haben im Grunde keinen Nachrichtenwert.

Doch Meldungen von einer Institution wie dem Cert-Bund werden von manchen Medien als scheinbar seriöse Quelle betrachtet und gerne als Quelle für Meldungen verwendet. Schließlich handelt es sich um eine staatliche Institution, von der man verlässliche Informationen erwartet. Und dann entstehen völlig unsinnige Medienberichte wie die über die VLC-Lücke. Es ist gut, dass die VLC-Entwickler auf diesen Missstand hingewiesen haben.

Nachtrag vom 30. Juli 2019, 14:05 Uhr

Kurz nach Veröffentlichung des Artikels erreichte uns eine Antwort des BSI. Darin wurden zwar unsere Fragen zu den einzelnen Meldungen nicht beantwortet, das BSI erläutert aber seine Praxis bei den Cert-Bund-Kurzmeldungen folgendermaßen:

Zu Ihrer Anfrage kann ich Ihnen als ein Sprecher des BSI mitteilen, dass der Warn- und Informationsdienst von Cert-Bund sich in seiner Funktionalität vorrangig an die IT-Sicherheitsbeauftragten der Bundesbehörden richtet. Diese haben Zugriff auf so genannte Advisories, die Sicherheitslücken und vor allem Handlungsempfehlungen ausführlicher erläutern. Wegen des Subsidiaritätsprinzips dürfen diese Advisories nicht der Öffentlichkeit zur Verfügung gestellt werden. Die Kurzinformationen sind also stark eingeschränkte Informationen zu Sicherheitslücken. Die Details, die Sie in Ihren Fragen ansprechen, sind somit in Kurzinformationen aus wettbewerbsrechtlichen Gründen nicht enthalten. Die Ermittelung der Risikostufe der Kurzinfos erfolgt gemäß der Beschreibung, die Sie auf unserer Webseite unter https://www.cert-bund.de/risk finden.

 Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. (-79%) 12,50€
  2. 4,99€
  3. (-76%) 9,50€
  4. 149,99€ (Release noch nicht bekannt)

ImBackAlive 02. Aug 2019 / Themenstart

Das ergibt nicht nur sehr wenig Sinn, sondern zielt auch an der Definition vorbei, wie...

ldlx 01. Aug 2019 / Themenstart

Art der Meldung: Warnmeldung Risikostufe 2 VLC: Mehrere Schwachstellen ermöglichen...

Illy 31. Jul 2019 / Themenstart

Als Mitarbeiter bei einem ISP bekomme ich regelmäßig mit, wie wir täglich CERT-Bund...

gadthrawn 31. Jul 2019 / Themenstart

Oh, das ist super einfach nachzuvollziehen. VLC kann als Webplayer eingebunden werden...

Gunstick 31. Jul 2019 / Themenstart

Der GovCERT gibt keine Meldungen raus. Das bleibt alles intern. Der CIRCL meldet...

Kommentieren


Folgen Sie uns
       


Google Game Builder ausprobiert

Mit dem Game Builder von Google können Anwender kleine, aber durchaus komplexe Spiele entwickeln. Der Editor richtet sich an neugierige Einsteiger, aber auch an professionelle Entwickler etwa für das Prototyping.

Google Game Builder ausprobiert Video aufrufen
WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

Arbeit: Hilfe für frustrierte ITler
Arbeit
Hilfe für frustrierte ITler

Viele ITler sind frustriert, weil ihre Führungskraft nichts vom Fach versteht und sie mit Ideen gegen Wände laufen. Doch nicht immer ist an der Situation nur die Führungskraft schuld. Denn oft verkaufen die ITler ihre Ideen einfach nicht gut genug.
Von Robert Meyer

  1. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  2. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  3. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt

Indiegames-Rundschau: Epische ASCII-Abenteuer und erlebnishungrige Astronauten
Indiegames-Rundschau
Epische ASCII-Abenteuer und erlebnishungrige Astronauten

In Stone Story RPG erwacht ASCII-Art zum Leben, die Astronauten in Oxygen Not Included erleben tragikomische Slapstick-Abenteuer, dazu kommen Aufbaustrategie plus Action und Sammelkartenspiele: Golem.de stellt neue Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Von Bananen und Astronauten
  2. Indiegames-Rundschau Verloren im Sonnensystem und im Mittelalter
  3. Indiegames-Rundschau Drogen, Schwerter, Roboter-Ritter

    •  /