Derzeit keine.

Portal Release

Hinweis


Aufgrund der Vorbereitung zur Inbetriebnahme und der Inbetriebnahme des neuen Releases wird das DFN-CERT Portal während der folgenden Zeiten nicht zur Verfügung stehen:

Do 20.02.2020 17:00 - 19:00 Uhr
Do 27.02.2020 7:00 - 7:30 Uhr

Wenn Sie eine automatische Verarbeitung der Schwachstellenmeldungen basierend auf dem JSON-Anhang vornehmen, stellen Sie bitte sicher, dass Ihr System ab dem 27.02.2020 9:00 Uhr mit dem geänderten CVSS V3.1 Format umgehen kann.

In der Zeit von Mi 19.02.2020 16:00 Uhr bis Do 20.02.2020 9:00 Uhr werden aufgrund der Systemumstellung keine Schwachstellenmeldungen versendet.

Aktualisierung des DFN-CERT Portals am 27.02.2020


Version 1.4 des DFN-CERT Portals enthält folgende nutzerseitige Änderungen:

  1. Wechsel von CVSS 2.0 auf 3.1
  2. Verteilung manueller Meldungen per E-Mail
  3. Informationen über Änderungen am Kategoriebaum und an Produkten
  4. Deutlichere Unterscheidung zwischen Benutzer und E-Mail-Kontakt

Darüber hinaus enthält das neue Release einige Usability-Optimierungen, BugFixes sowie Verbesserungen im Administrationsbackend.

1. Wechsel von CVSS 2.0 auf 3.1

Mit der Aktualisierung des DFN-CERT Portals erfolgt eine Änderung der Bewertung von Schwachstellenmeldungen. Ab der Inbetriebnahme der Version 1.4 werden sämtliche Schwachstellen nach Common Vulnerability Scoring System (CVSS) Version 3.1 bewertet statt wie bisher nach Version 2.0.

Ältere Schwachstellen, die bereits nach CVSS 2.0 bewertet wurden, werden im Falle eines Updates der Schwachstelle nach der Umstellung mit CVSS 3.1 neu bewertet.

Hintergrund: Seit Juni 2015 existiert die CVSS-Version 3.0 und wird mittlerweile von nahezu allen Herstellern zur Bewertung der eigenen Schwachstellen verwendet. Im Vergleich zur Version 2.0 werden für das Basisrisiko zwei zusätzliche Parameter erfasst:

  1. ‚User Interaction‘ (UI) (Benutzerinteraktion). Mögliche Werte sind ‚None‘ (N) (keine) oder ‚Required‘ (R) (erforderlich).
  2. ‚Scope‘ (S) (Geltungsbereich). Der ‚Scope‘ gibt an, ob die erfolgreiche Ausnutzung einer Schwachstelle in einer Komponente Auswirkungen auf andere Komponenten hat und kann die Werte ‚Changed‘ (C) (verändert) und ‚Unchanged‘ (U) (unverändert) annehmen.

Weiterhin wird der im Basisrisiko betrachtete Parameter ‚Authentication‘ hin zu ‚Privileges required‘ (PR) (Privilegien erforderlich) verändert.

Inzwischen existiert CVSS in der Version 3.1, mit welcher keine neuen Werte eingeführt wurden, sondern eine Präzisierung von CVSS 3.0 in einigen Punkten erfolgt ist.

Die Umstellung der Bewertung auf die aktuelle CVSS-Version hat Auswirkungen auf das JSON-Format, in welchem Schwachstellenmeldungen zur Verfügung gestellt werden, um eine automatische Verarbeitung zu ermöglichen.

Der CVSS-Block ändert sich wie folgt:

  • statt ‚cvss‘ wird ‚cvss3‘ verwendet
  • der ‚vector‘ wird um die Angabe ‚CVSS:3.1‘, ‚UI‘ und ‚S‘ ergänzt und ‚Au‘ wird zu ‚PR‘ mit den Werten None (N), Low (L) und High (H)
  • die Bewertungsmöglichkeiten für Confidentiality, Integrity und Availability ändern sich von None (N) / Partial (P) / Complete (C) zu None (N) / Low (L) / High (H)
  • beim Angreifer wird zusätzlich zwischen lokalem (AV:L) und physischem (AV:P) Zugriff unterschieden

Die beschriebenen Änderungen sind im Beispielausschnitt hervorgehoben:

   "cvss3": {
      "impact_score": "2.5",
      "vector": "CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L/E:P/RL:O/RC:C",
      "exploitability_score": "2.5",
      "base_score": "5.1",
      "temporal_score": "4.6"
   },

Im Zuge der Änderungen des JSON-Formats wird eine Korrektur implementiert und die Angabe ‚version‘ von einem String zu einem Integer-Wert geändert.

Die Umstellung auf das Bewertungsschema nach CVSS Version 3.1 hat Auswirkungen auf die über das DFN-CERT Portal abrufbare Meldungshistorie, da alte Meldungen, die kein Update nach der Umstellung erfahren, weiterhin mit einer Bewertung nach CVSS in Version 2.0 vorliegen. Dies wird in der Meldungsübersicht durch den Hinweis ‚v2‘ am CVSS Score kenntlich gemacht.

Die Meldungshistorie wird außerdem durch eine weitere Suchmöglichkeit nach dem DAF-Score erweitert, welcher zusätzlich in der Spalte ‚Risiko‘ in der Übersicht des Schwachstellen-Archivs angezeigt wird.

2. Verteilung manueller Meldungen per E-Mail

Bereits seit Einführung der neuen Portalversion ist es Portal-Administratoren (Mitarbeitern des DFN und DFN-CERT) möglich, manuelle Meldungen an Einrichtungen und verschiedene Benutzergruppen zu senden. Diese Meldungen werden bisher allerdings nur im Portal angezeigt. Mit dem neuen Release werden derartige Meldungen auch per E-Mail an Benutzer verteilt, die prinzipiell dem E-Mail-Empfang zugestimmt haben. Die neuen Meldungstypen für solche Nachrichten sind ‚Manueller Sicherheitshinweis‘ und ‚Portal Neuigkeiten‘.

3. Informationen über Änderungen am Kategoriebaum und an Produkten

Seit Inbetriebnahme der zweiten Generation des DFN-CERT Portals erfolgt das Abonnement von Schwachstellenmeldungen basierend auf einem Kategoriebaum. Der Kategoriebaum, der sich in die Hauptäste ‚Plattformen‘ und ‚Software‘ aufteilt, ermöglicht eine detaillierte Auswahl von derzeit unterstützten Produkten für den Erhalt von Schwachstellenmeldungen.

Der Vorteil der überschaubareren Meldungsanzahl bei einem eng definierten Filter für die Meldung hat zur Zeit den Nachteil, dass etwaige Erweiterungen des Meldungsportfolios unbemerkt bleiben, wenn der Kategoriebaum und die verfügbaren unterstützten Produkte nicht regelmäßig überprüft werden.

Um dies auszugleichen, wird zukünftig über Änderungen an Kategorien und neu aufgenommene Produkte mittels eines weiteren neuen Meldungstyps informiert. Diese Meldungen zu Kategorie- und Produktänderungen können mittels einer Checkbox im Menü ‚E-Mail Einstellungen‘ bei der Bearbeitung des eigenen Benutzerprofils aktiviert oder deaktiviert werden.

Sollen Informationen über Kategorie- und Produktänderungen an eine andere E-Mail-Adresse gesendet werden als die Schwachstellenmeldungen, kann hierfür ein neuer E-Mail-Kontakt angelegt werden.

4. Deutlichere Unterscheidung zwischen Benutzer und E-Mail-Kontakt

Ab der DFN-CERT Portal Version 1.4 stehen für Handlungsberechtigte Personen / Administratoren zwei eindeutig unterscheidbare Möglichkeiten zur Verfügung, um neue Kontakte in das Portal aufzunehmen.

Auf der Seite ‚Kontakte‘ gibt es den Button ‚Benutzer anlegen‘ über den ein Benutzer, der Zugang zum Portal erhalten soll, in das Portal eingeladen wird. Über den ebenfalls verfügbaren Button ‚E-Mail-Kontakt anlegen‘ wird ein E-Mail-Empfänger, der keinen Zugang zum Portal erhalten soll, angelegt. In beiden Fällen werden automatisch E-Mails mit Bestätigungs-URLs versendet, die mit einem gültigen Zertifikat aus der DFN-CA aufgerufen werden müssen, um die Einrichtung des E-Mail-Empfangs oder den Zugang zum Portal abzuschließen. Für E-Mail-Kontakte reicht hierbei der Aufruf mit einem beliebigen Zertifikat zur Bestätigung aus. Neue Portal-Benutzer müssen die URL mit dem Zertifikat aufrufen, das sie auch für die Anmeldung am Portal verwenden wollen. Dabei muss die E-Mail-Adresse im Zertifikat mit der durch die einladende Person im Portal hinterlegten E-Mail-Adresse übereinstimmen.

     aktualisiert am: 13.02.2020 |