Original-URL des Artikels: https://www.golem.de/news/bsi-die-fragwuerdigen-sicherheitswarnungen-des-cert-bund-1907-142857.html    Veröffentlicht: 30.07.2019 14:00    Kurz-URL: https://glm.io/142857

BSI

Die fragwürdigen Sicherheitswarnungen des Cert-Bund

Eine Falschmeldung vieler Medien über eine Sicherheitslücke im VLC-Player war auf eine unseriöse Meldung des Cert-Bund zurückzuführen. Kein Einzelfall: Das dem BSI unterstellte Cert-Bund gibt regelmäßig fragwürdige Meldungen heraus, die Sicherheitslücken systematisch übertrieben darstellen.

Die Videolan-Entwickler sparten nicht mit Kritik: Eine angeblich kritische Sicherheitslücke im VLC-Player führte zu völlig absurden Medienberichten, die Quelle davon war ein fehlerhafter Eintrag in der CVE-Datenbank und eine Meldung des Cert-Bund.

Das Cert-Bund, das zum Bundesamt für Sicherheit in der Informationstechnik (BSI) gehört, veröffentlicht regelmäßig Kurzinfos zu Sicherheitslücken auf seiner Webseite. Eine solche Kurzinfo war der Grund für die Empörung der Videolan-Entwickler. Sie wurde inzwischen teilweise geändert, enthält aber immer noch grob falsche Angaben. So wird dort nach wie vor von einem Remoteangriff gesprochen und behauptet, dass die Lücke ein "Ausführen beliebigen Programmcodes" ermöglicht. Belege dafür liefert das Cert-Bund keine, realistisch ist ein solches Szenario angesichts der Art des Fehlers - ein sogenannter Out-of-Bounds-Read - nicht.

Kurzinfos des Cert-Bund fast immer übertrieben

Die VLC-Meldung ist aber kein Einzelfall. Wir haben uns einige Meldungen des Cert-Bund angesehen. Fast alle sind massiv übertrieben, lassen wichtige Infos zur Einordnung weg oder sind schlicht unsinnig.

In einer Meldung vom 25. Juli 2019 ist die Rede von mehreren Schwachstellen im E-Mail-Program Thunderbird. Es handelt sich laut Cert-Bund dabei um einen Remoteangriff und die Auswirkung ist: "Ausführen beliebigen Programmcodes mit Benutzerrechten". Klingt für ein Mailprogramm reichlich dramatisch, man würde wohl beim Lesen davon ausgehen, dass hier ein simpler Mailempfang reicht, um Code auf dem System des Mailempfängers auszuführen.

Verlinkt sind mehrere Meldungen von Linux-Distributionen sowie ein Advisory von Mozilla über die in Thunderbird 60.8 behobenen Sicherheitslücken. Dort werden tatsächlich mehrere Lücken aufgelistet, deren Gefährlichkeit als hoch oder kritisch eingestuft wird. Allerdings steht dort auch ein Satz, der zur Einordnung dieser Lücken wichtig ist: "Im Normalfall können diese Schwächen nicht über E-Mails im Thunderbird-Produkt ausgenutzt werden, weil die Script-Ausführung beim Lesen von Mails deaktiviert ist, sie sind aber möglicherweise ein Risiko in browserartigen Kontexten".

Dafür muss man Folgendes verstehen: Thunderbird nutzt zur Anzeige von HTML die Rendering-Engine des Firefox-Browsers, große Teile des Codes werden von beiden Projekten genutzt. Der Code wird regelmäßig in Thunderbird aktualisiert und dabei werden alle Bugs und Sicherheitslücken behoben, die auch Firefox betreffen. Doch wie Mozilla selber schreibt: Ein Großteil dieser Fehler dürfte für Thunderbird-Nutzer keinerlei Gefahr darstellen.

Gefixt werden sie trotzdem und Mozilla schreibt auch regelmäßig ein Security-Advisory dafür. Das ist natürlich sinnvoll - sicher ist sicher -, aber es ist zur Einschätzung der Gefährlichkeit wichtig, diesen Zusammenhang zu verstehen. Es ist nicht völlig auszuschließen, dass eine der aufgelisteten Lücken tatsächlich einen Angriff auf Thunderbird-Nutzer ermöglicht, aber besonders wahrscheinlich ist es nicht.



Remoteangriff auf Exim - aber nur in sehr ungewöhnlicher Konfiguration

Ein Advisory vom 26. Juli 2019 bezieht sich auf den Mailserver Exim. Die Überschrift lautet: "Schwachstelle ermöglicht ausführen von beliebigem Programmcode mit Administratorrechten", auch hier ist von einem Remoteangriff die Rede. Exim ist ein sehr häufig genutzter Mailserver; schlimmer als ein Remoteangriff, der eine Codeausführung mit Administratorrechten ermöglicht, geht es kaum. Und tatsächlich gab es vor nicht allzu langer Zeit eine Sicherheitslücke in Exim, die genau das ermöglicht.

Doch um diese Lücke geht es in der Ankündigung des Cert-Bund nicht, es geht um eine neue, erst kürzlich entdeckte Sicherheitslücke. Folgt man dem Link zur Ankündigung des Exim-Entwicklers Heiko Schlittermann, erfahren wir eine wichtige Einschränkung: Die Entwickler halten das Risiko dieser Lücke für gering, da sie nur sehr ungewöhnliche Serverkonfigurationen betrifft. Die Standardkonfiguration ist nicht betroffen.

Inzwischen sind weitere Details von Exim zu dieser Sicherheitslücke veröffentlicht worden. Es ist möglich, in der Exim-Konfiguration mit bestimmten Operatoren Variablen zu beeinflussen und einer dieser Operatoren ermöglicht es, den Inhalt einer Variablen zu sortieren. Wenn dieser Sortier-Operator mit einer Variablen verwendet wird, die vom Angreifer kontrollierte Inhalte enthält, ist ein Angriff möglich.

Man kann wohl davon ausgehen, dass die Entwickler von Exim recht haben und die Gefahr gering ist: Die wenigsten Exim-Nutzer dürften eine Konfiguration haben, die davon Gebrauch macht, es handelt sich um ein eher ungewöhnliches Feature.



Schwachstellen mit unklarer Auswirkung

Eine Meldung vom 25. Juli 2019 bezieht sich auf den Linux-Kernel: "Schwachstelle ermöglicht Privilegieneskalation" heißt es dort. Von einer Privilegieneskalation spricht man üblicherweise, wenn ein Nutzer seine Rechte ausweiten kann, also wenn beispielsweise ein gewöhnlicher Nutzer Root-Rechte erlangen kann. Solche Lücken gibt es im Linux-Kernel tatsächlich immer wieder und für Administratoren von Multi-User-Systemen ist es wichtig, diese schnell zu schließen.

Der nicht direkt verlinkte Patch und dessen Erklärung verraten uns etwas mehr. Zunächst einmal handelt es sich um einen Fehler in einem USB-Gerätetreiber für ein Tablet. Das ist zur Einschätzung relevant, denn das bedeutet, dass der Fehler nur durch ein bösartiges USB-Gerät ausgenutzt werden kann. Davon steht beim Cert-Bund nichts.

Der Fehler selbst ist ein Buffer Overflow, bei dem allerdings nur 2 Byte überschrieben werden und der Angreifer auch deren Inhalt nicht kontrollieren kann. Ist es möglich, damit eine Privilegieneskalation zu erreichen? Völlig ausschließen kann man es nicht - es gab schon Fälle, in denen ein einzelnes, mit null überschriebenes Byte praktisch ausgenutzt werden konnte - aber es erscheint zumindest fragwürdig.

Eine weitere Meldung vom 25. Juli bezieht sich auf das Content-Management-System Drupal. "Drupal: Mehrere Schwachstellen" heißt es dazu schlicht in der Überschrift. "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder vertrauliche Daten einzusehen", heißt es später im Text.

Drei Security-Advisories von Drupal sind verlinkt. Was die Meldung des Cert-Bund nicht erwähnt: Bei allen dreien handelt es sich um Sicherheitslücken in Erweiterungen, nicht um Lücken in Drupal selbst.

Sind das alles Einzelfälle? Wohl kaum, alle von uns genannten Beispiele stammen von lediglich zwei Tagen. Es ist vielmehr ein systematisches Problem: Die Meldungen des Cert-Bund übertreiben regelmäßig die Gefährlichkeit von Sicherheitslücken, sie lassen wichtige Informationen weg, welche für die Einschätzung relevant sind und sie kommen zu unbegründeten Schlussfolgerungen.

Wir haben das Cert-Bund gefragt, wie es bei den hier aufgeführten Meldungen zu seiner Einschätzung kam. Eine Antwort haben wir nicht erhalten. In einer Twitter-Diskussion verweist das Cert-Bund jedoch auf eine Seite, auf der es heißt: "Beachten Sie bitte, dass die Informationen teilweise nicht verifiziert sind und daher unter Umständen unvollständig oder auch fehlerhaft sein können." Im Klartext: Als seriöse Quelle taugen diese Meldungen nicht.

Das Cert-Bund ist damit nicht alleine. Meldungen über Sicherheitslücken, deren Informationsgehalt bestenfalls fragwürdig ist, werden von zahlreichen Institutionen verbreitet. Dabei tritt ein Problem deutlich zutage: Es werden tagtäglich Sicherheitslücken behoben, bei denen oft völlig unklar ist, wie gefährlich sie sind.

Gefährlichkeit einer Lücke oft schwer einschätzbar

Insbesondere bei Fehlern im Speichermanagement ist es oft extrem aufwendig, überhaupt einzuschätzen, ob eine Lücke praktisch ausnutzbar ist. Derartige Fehler zu finden und auch zu beheben, ist dabei oft der geringste Aufwand. Doch Ankündigungen wie die des Cert-Bund und auch Datenbanken wie die CVE-Datenbank der Firma Mitre erwecken den Eindruck, dass eine seriöse Einschätzung über die Auswirkungen von Lücken vorliegt.

In den meisten Fällen wäre die ehrlichste Antwort: Wie gefährlich eine Lücke ist, welche Auswirkungen sie hat, wissen wir nicht. Natürlich sollte man auch solche Lücken schließen und Updates einspielen. Aber diese Alltagslücken haben im Grunde keinen Nachrichtenwert.

Doch Meldungen von einer Institution wie dem Cert-Bund werden von manchen Medien als scheinbar seriöse Quelle betrachtet und gerne als Quelle für Meldungen verwendet. Schließlich handelt es sich um eine staatliche Institution, von der man verlässliche Informationen erwartet. Und dann entstehen völlig unsinnige Medienberichte wie die über die VLC-Lücke. Es ist gut, dass die VLC-Entwickler auf diesen Missstand hingewiesen haben.

Nachtrag vom 30. Juli 2019, 14:05 Uhr

Kurz nach Veröffentlichung des Artikels erreichte uns eine Antwort des BSI. Darin wurden zwar unsere Fragen zu den einzelnen Meldungen nicht beantwortet, das BSI erläutert aber seine Praxis bei den Cert-Bund-Kurzmeldungen folgendermaßen:

Zu Ihrer Anfrage kann ich Ihnen als ein Sprecher des BSI mitteilen, dass der Warn- und Informationsdienst von Cert-Bund sich in seiner Funktionalität vorrangig an die IT-Sicherheitsbeauftragten der Bundesbehörden richtet. Diese haben Zugriff auf so genannte Advisories, die Sicherheitslücken und vor allem Handlungsempfehlungen ausführlicher erläutern. Wegen des Subsidiaritätsprinzips dürfen diese Advisories nicht der Öffentlichkeit zur Verfügung gestellt werden. Die Kurzinformationen sind also stark eingeschränkte Informationen zu Sicherheitslücken. Die Details, die Sie in Ihren Fragen ansprechen, sind somit in Kurzinformationen aus wettbewerbsrechtlichen Gründen nicht enthalten. Die Ermittelung der Risikostufe der Kurzinfos erfolgt gemäß der Beschreibung, die Sie auf unserer Webseite unter https://www.cert-bund.de/risk finden.  (hab)


Verwandte Artikel:
IT-Sicherheit: BSI erarbeitet neue Mindeststandards für Browser   
(02.07.2019, https://glm.io/142261 )
Großes Sicherheitsrisiko durch Word-Dokumente   
(07.10.2004, https://glm.io/34040 )
VLC-Player: Videolan will künftig eigene CVEs vergeben   
(29.07.2019, https://glm.io/142827 )
Thunderbird 60.8.0: Mozilla behebt kleine Probleme   
(11.07.2019, https://glm.io/142504 )
Sicherheitslücke: Exim-Sicherheitslücke gefährlicher als gedacht   
(06.06.2019, https://glm.io/141729 )

© 1997–2019 Golem.de, https://www.golem.de/