Derzeit keine.

Schwachstelleninformationen im DFN-CERT

An kombinierten Patchtagen (bspw. Microsoft + Oracle) oder bei umfangreichen Einzelpatchtagen (Android, Juniper) beschreibt und bewertet das Incident Response Team (IRT) des DFN-CERT mitunter mehrere hundert Schwachstellen. Die Datenlage ist dabei oft dünn, da viele Hersteller zusammen mit den Patches nur eine grobe Einstufung der Schwachstellen (bspw. critical, medium) und automatisiert erstellte Beschreibungstexte veröffentlichen. Details zu den Schwachstellen folgen teilweise erst dann, wenn ein Großteil der Nutzer die Updates bereits installiert hat (Chrome) oder auch gar nicht.

Das IRT muss an solchen Tagen also schnell über neue Updates informieren und gleichzeitig sehr genau arbeiten. Für jede Schwachstelle werden die nicht vorhandenen Informationen antizipiert, um den wahrscheinlichsten Angriffsvektor für eine gegebene Schwachstelle herauszuarbeiten. Diese Herangehensweise für alle Schwachstellen einer Sicherheitsmeldung ist sehr zeitintensiv und führt zu Zeitverzögerungen bei der Information über veröffentlichte Sicherheitsupdates.

Der Arbeitsaufwand steht dabei nicht immer in einem angemessenen Verhältnis zu dem, was für den Anwender letztlich wichtig ist: meist rechtfertigt schon die Existenz weniger kritischer Schwachstellen eine Sicherheitsmeldung und die vielen weniger schwerwiegenden Schwachstellen, die mit demselben Sicherheitsupdate behoben werden, haben keine Auswirkung auf die Dringlichkeit der Installation des verfügbaren Sicherheitsupdates.

Vereinfachte Bearbeitung von Schwachstellenmeldungen

Um angesichts der weiterhin stetig steigenden Zahlen veröffentlichter Schwachstellen die zügige Information der Anwender über verfügbare Sicherheitsupdates zu gewährleisten, wird das IRT den Aufwand für die Bearbeitung der einzelnen Schwachstellen reduzieren. Für Sicherheitsupdates, mit denen mehr als fünf Schwachstellen behoben werden, wird eine detaillierte Beschreibung zukünftig nur noch für die relevantesten Schwachstellen erstellt. Weniger schwerwiegende Schwachstellen werden, soweit möglich, automatisiert verarbeitet und nur grob beschrieben.

Nach wie vor enthält die Zusammenfassung der Schwachstellenmeldung die Angaben zu den möglichen Angriffen: es werden alle behobenen Schwachstellen aufgeführt und weiterführende Referenzen in die Meldung aufgenommen.

Besonders auffällig wird diese Änderung an ‚großen‘ Patchtagen, wie den bereits oben erwähnten, die Änderung gilt aber grundsätzlich.

Genaue Regeln für die Bearbeitung von Schwachstellenmeldungen

Das IRT folgt bei der Bearbeitung von Schwachstellenmeldungen den hier aufgeführten Regeln:

  • An der Strukturierung von Schwachstellenmeldungen werden keine Änderungen vorgenommen.
  • Schwachstellenmeldungen, die bis maximal fünf Schwachstellen umfassen, werden wie derzeit üblich verarbeitet und alle Schwachstellen werden einzeln beschrieben.
  • Schwachstellenmeldungen, die mehr als fünf Schwachstellen umfassen werden wie folgt vereinfacht:

    • Nur die vom Hersteller als kritisch bewerteten Schwachstellen werden einzeln oder in Sammelschwachstellen detailliert beschrieben.
    • Existieren in einer Schwachstellenmeldung keine kritischen oder weniger als drei kritische Schwachstellen, so werden nur die für die Meldung relevantesten (mindestens aber drei) Schwachstellen detailliert beschrieben.

    • Enthält eine Schwachstellenmeldung Schwachstellen, die bereits zu einem früheren Zeitpunkt veröffentlicht und durch das IRT detailliert beschrieben wurden, wird diese Beschreibung in die Schwachstellenmeldung übernommen. Dies gilt auch, wenn es sich bei der jeweiligen Schwachstelle nicht um eine für die Meldung besonders relevante Schwachstelle handelt. (Hierbei handelt es sich um eine durch das System vorgegebene Randbedingung.)
  • In jedem Fall ändert sich an der Zusammenfassung der Schwachstellenmeldung nichts, da diese genaue Auskunft über die relevanten Angriffe und möglichen Auswirkungen einer erfolgreichen Ausnutzung der Schwachstellen gibt.

Schwachstellen, die nicht detailliert beschrieben werden, werden vorzugsweise automatisiert verarbeitet und die Beschreibung dem CVSS-Vektor entsprechend generiert.
Ist keine automatisierte Verarbeitung möglich und liegen sehr wenig Informationen vor, werden generische Schwachstellenbeschreibungen erstellt, die produktspezifisch über übliche Angriffe informieren.

Für die weniger wichtigen Schwachstellen überprüft das IRT die Herstellerangaben, setzt den CVSS-Score und generiert daraus eine einfache Beschreibung. Es erfolgen keine ausführliche Ausarbeitung und Erläuterung des Problems und keine Prüfung der betroffenen Softwareversionen, da diese nur von der Schwachstellenmeldung abgeleitet werden.

Zu den Patchtagen, an denen diese Regeln besonders augenfällig werden, gehören:

  • Android
  • Cisco
  • Adobe
  • Microsoft
  • Oracle
  • Juniper
  • Foxit
  • Apple
  • Chrome

Besonderheiten

  • Junos OS
  • Cisco IOS NX-OS

Für Produkte, insbesondere den beiden hier genannten, die in vielen verschiedenen Versionszweigen existieren, werden an Patchtagen üblicherweise eine Vielzahl von Schwachstellen in unterschiedlichen Versionszweigen veröffentlicht. Dadurch kann kein einheitliches Bild über betroffene und fehlerbereinigte Versionen erstellt werden. Bei Cisco verweist der Hersteller in der Regel selbst auf ein Tool zur Ermittlung der Betroffenheit der eingesetzten Softwareversion.
Bei derartigen Meldungen wird daher zukünftig auf die Auflistung von einzelnen betroffenen Versionen verzichtet, da der Anwender ohnehin genauere Prüfungen für die von ihm verwendete Version durchführen muss.

  • Android

Die Schwachstellen werden zukünftig nach betroffener Komponente sortiert veröffentlicht. Für jede Komponente wird ein Hinweis auf die Auswirkung der jeweils schwersten Schwachstelle hinzugefügt. Das entspricht dem Vorgehen des Herstellers.

Von den vorgenannten Regeln kann in Einzelfällen unter besonderen Randbedingungen abgewichen werden.

Wir bitten die kurzfristige Ankündigung dieser Umstellung bzgl. der Bearbeitung von Schwachstellenmeldungen zu entschuldigen, da sie aufgrund der aktuellen Arbeitssituation zügiger angegangen werden musste als geplant.

Neben dem erhofften Zeitgewinn, soll die Abkehr von der vollständigen Beschreibung aller Schwachstellen dem IRT durch die Fokussierung auf die wichtigen Inhalte helfen, die Qualität der Meldungen für Sie, den Leser, zu verbessern. Wenn Sie uns hierzu oder zu anderen Aspekten unserer Schwachstellenmeldungen Feedback geben möchten, freuen wir uns auf E-Mails an portal-contact@dfn-cert.de.

     aktualisiert am: 09.04.2020 |