[gelöst] CVE-Systematik ist mir unklar

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
bullgard
Beiträge: 1642
Registriert: 14.09.2012 23:03:01

[gelöst] CVE-Systematik ist mir unklar

Beitrag von bullgard » 20.05.2018 06:14:27

Hallo debianforum.de,
Ich sehe bei der CVE-Systematik nicht durch:
/usr/share/doc/thunderbird/changelog.Debian.gz:
…[ Carsten Schoenert ] … CVE-2018-5185: Leaking plaintext through HTML form (aka Efail).
- Warum schreibt aber http://cve.mitre.org/cgi-bin/cvekey.cgi ... -2018-5185:
CVE-2018-5185 ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.
? und http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Efail:
CVE-2017-17689 The S/MIME specification allows a Cipher Block Chaining (CBC) malleability-gadget attack that can indirectly lead to plaintext exfiltration, aka EFAIL.
CVE-2017-17688 ** DISPUTED ** The OpenPGP specification allows a Cipher Feedback Mode (CFB) malleability-gadget attack that can indirectly lead to plaintext exfiltration, aka EFAIL. NOTE: third parties report that this is a problem in applications that mishandle the Modification Detection Code (MDC) feature or accept an obsolete packet type, not a problem in the OpenPGP specification
?
Mit freundlichen Grüßen
bullgard
Zuletzt geändert von bullgard am 23.05.2018 03:59:24, insgesamt 1-mal geändert.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: CVE-Systematik ist mir unklar

Beitrag von dufty2 » 20.05.2018 08:25:12

CVE-2018-?????? A Flaw in Mitre's CVE database allows arbitrary code insertion.

Gunman1982
Beiträge: 923
Registriert: 09.07.2008 11:50:57
Lizenz eigener Beiträge: MIT Lizenz

Re: CVE-Systematik ist mir unklar

Beitrag von Gunman1982 » 20.05.2018 11:32:34

Security team wird auf einen Sicherheitsfehler hingewiesen, mit Beschreibung, CVE-Nr etc. Unter Umständen noch mit der Bitte bis zum Tage xx.xx.2018 nichts bezüglich dieses Fehlers zu veröffentlichen damit andere Hersteller zeitgleich Patches ausliefern können. Solange wird die CVE nicht öffentlich geschaltet und nur reserviert.

Die andere CVE 2017-xxxx ist vom letzten Jahr.

Wenn ich das richtig verstanden habe sind die Leute die dieses EFail gefunden haben schon vor einem Jahr an die OpenPGP DEVs ran getreten und sagten "Oy, Fehler, macht was". OpenPGP sagt "Wir geben in dem Fall eine Warnung aus und wenn diese Warnung vom Email Programm nicht richtig behandelt wird, dann ist das nicht unser Problem." Danach war wohl Funkstille bis das dann vor einiger Zeit durch die Medien ging.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: CVE-Systematik ist mir unklar

Beitrag von eggy » 20.05.2018 12:01:46

bullgard hat geschrieben: ↑ zum Beitrag ↑
20.05.2018 06:14:27
Ich sehe bei der CVE-Systematik nicht durch:
CVE-Jahr-Nummer

Beispiel: CVE-2017-17689
https://cve.mitre.org/cgi-bin/cvename.c ... 2017-17689
auf der Webseite steht dann:
CNA war Mitre, 2017 (genauer 15. Dez.) wurde die Nummer vergeben

CNA: Organisation, die für nen bestimmten Bereich selbstständig ne Nummer rausgeben darf.
Mozilla ist z.B. CNA (und ich geh mal davon aus, dass Thunderbird zu ihrem Bereich gehören wird), Microsoft, Debian, etc stehen auch in der Liste, für sonstige Opensourcesachen läuft der Weg über nen Webformular des DWF (Distributed Weakness Filing Project), alles was keinen eigenen CNA hat, bekommt seine Nummer dann von Mitre.

Dass es mehrere CVE für EFAIL gibt ist nichts ungewöhnliches, die "Probleme" betreffen mehrere Komponenten. Da sind Teile mal früher oder später bekannt; es betrifft unterschiedlichste Software oder Konzepte; manchmal kommen zwei Leute unabhängig auf nen Problem und beantragen ne CVE-Nummer, ohne dass der jeweils andere davon Kenntnis hat; unterschiedliche Bereiche sind betroffen, daher mehrere CNA involviert, die jeweils eigene Nummern verteilen; ...

[1] https://cve.mitre.org/cve/cna.html
[2] http://cve.mitre.org/cve/request_id.htm ... rticipants

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: CVE-Systematik ist mir unklar

Beitrag von tijuca » 20.05.2018 12:19:17

Das Security Team hat einen Automatismus um die CVE Einträge automatisch in den Tracker eintragen zu lassen, so passiert mit CVE-2017-17689 der zwar 2017 schon bei Mitre eingetragen worden ist aber erst vor wenigen Tagen für die Öffentlichkeit frei geschaltet worden ist.

Die Efail Geschichte und der CVE Eintrag dazu verlief leider etwas chaotisch, Mozilla wurde soweit mir bekannt nicht wirklich gut involviert und hat dann eigene CVE Einträge für die Efail angelegt. Ergibt dann doppelte CVEs die im Kern das selbe Sicherheitsproblem behandeln. Dies bedarf dann manueller Nacharbeit durch das Security Team in deren Tracker.
Zuletzt geändert von tijuca am 24.05.2018 07:18:56, insgesamt 2-mal geändert.

bullgard
Beiträge: 1642
Registriert: 14.09.2012 23:03:01

Re: CVE-Systematik ist mir unklar

Beitrag von bullgard » 23.05.2018 03:58:48

Wunderbar!
Vielen Dank für Eure informativen und hilfreichen Antworten!
Gruß
bullgard

Antworten