Linux: Kernel-Community will künftig eigene CVEs vergeben
Die Upstream-Community des Linux-Kernel, Kernel.org, zählt nun als sogenannte CVE Numbering Authority (CNA) und darf eigenständig CVE-Nummern für erkannte Sicherheitslücken vergeben. Das hat die für die CVE-Nummern zuständige Mitre Corporation bekanntgegeben(öffnet im neuen Fenster) . Der Betreuer der stabilen Kernel-Zweige, Greg Kroah-Hartman, schreibt dazu in seinem Blog(öffnet im neuen Fenster) : "Es ist ein Trend, dass immer mehr Open-Source-Projekte die halbherzige Zuweisung von CVEs für ihr Projekt übernehmen, indem sie CNA werden, so dass keine andere Gruppe CVEs ohne ihre Beteiligung zuweisen kann."
Tatsächlich beschweren sich zahlreiche Open-Source-Communitys und -Entwickler seit Jahren über die Vergabe von CVE-Nummern durch Dritte für ihr eigenes Projekt, ohne dass überhaupt Rücksprache mit den entsprechenden Entwicklern gehalten wird. Die Videolan-Community ist deshalb etwa bereits seit 2019 eine CNA , das Curl-Projekt erst seit wenigen Wochen(öffnet im neuen Fenster) .
Im Fall des Linux-Kernel übernehmen meist verschiedene Distributionen und Hersteller die Vergabe von CVE-Nummern für von ihnen als Sicherheitslücken erkannte Probleme. Oft ist dabei aber nicht direkt klar, ob der Code auch den Hauptzweig und die stabilen Zweige der Upstream-Community betrifft oder ob es nur um Code geht, den die Hersteller selbst erstellt haben.
CVE-Nummern im Kernel machen Probleme
Darüber hinaus gibt es zahlreiche weitere Schwierigkeiten im Umgang von CVEs für den Linux-Kernel. Details dazu nannte Kroah-Hartman schon vor mehr als vier Jahren in einem Vortrag(öffnet im neuen Fenster) . Demnach wird die CVE-Vergabe von Entwicklern in Unternehmen genutzt, um interne Richtlinien zu umgehen. Auch die Zeitspanne zwischen Code-Beitrag zum Schließen einer Lücke und der CVE-Vergabe liege oft sehr weit auseinander, auch deshalb, weil viele Bug-Fixes im Linux-Kernel erst sehr spät im Nachhinein als Sicherheitslücke erkannt würden, heißt es.
Kroah-Hartman als Nummer 2 der Kernel-Entwicklung ebenso wie Gründer und Chefentwickler Linus Torvalds sowie zahlreiche weitere Entwickler der Kernel-Community halten prinzipiell jeden Bug-Fix für potenziell sicherheitsrelevant. Kroah-Hartman sagte dazu in seinem Vortrag, dass jene Nutzer, die nur Patches für Bugs mit CVE-Nummern in ihre Kernel einpflegten, sehr wahrscheinlich wohl unsichere und gefährdete Linux-Kernel nutzten. An dem Standpunkt der Upstream-Entwickler gibt es aber auch immer wieder Kritik(öffnet im neuen Fenster) .
Kroah-Hartman hält das CVE-System zwar immer noch für "kaputt" , wie er selbst schreibt. Mit der Aufgabe als CNA könne die Kernel-Community aber mehr Verantwortung übernehmen. Von den Grundprinzipien scheinen die Beteiligten aber dennoch keinen Abstand nehmen zu wollen. So heißt es in der von Kroah-Hartman vorgeschlagenen Dokumentation(öffnet im neuen Fenster) zum Ablauf der CVE-Vergabe, dass ein Team der Kernel-Entwickler künftig sicherheitsrelevante Bug-Fixes identifiziere und automatisch CVE-Nummern dafür vergebe.
Das Team geht schon jetzt davon aus, dass dies zu einer sehr großen Anzahl an CVE-Nummern führen wird. Dazu heißt es: "Beachten Sie, dass aufgrund der Ebene, auf der sich der Linux-Kernel in einem System befindet, fast jeder Fehler ausgenutzt werden kann, um die Sicherheit des Kernels zu gefährden. Aber die Möglichkeit zur Ausnutzung ist häufig nicht offensichtlich, wenn der Fehler behoben wird. Aus diesem Grund ist das CVE-Zuweisungsteam übermäßig vorsichtig und weist jeder identifizierten Fehlerbehebung eine CVE-Nummer zu." Die CVEs können über eine Mailing-Liste verfolgt werden(öffnet im neuen Fenster) .
Ob dieses Vorgehen die Sicherheit des Linux-Kernels und seiner Nutzer langfristig verbessern kann und welche Auswirkungen dies auf die Hersteller und Distributoren im Linux-Ökosystem haben wird, ist dabei nicht klar.