Wie informiert ihr euch über Sicherheitslücken?

[paedubucher]

Von gröberen Sicherheitslücken liest man ja auf heise.de oder golem.de meistens innert recht kurzer Zeit. Von richtig grossen Lücken (z.B. Heartbleed) vernimmt man ja sogar etwas über die Mainstream-Medien.

Von den ganzen anderen Sicherheitslücken erfährt man durch verschiedenste Quellen, sofern man diese auch aktiv liest. Auch einige Tools werfen teilweise Sicherheitswarnungen über veraltete Software, welche Sicherheitslücken aufweisen. So erfährt man aber meist nur durch Zufall von einer Sicherheitslücke.

Die CVE-Datenbank bietet eine sehr umfassende Sammlung. Die ist besonders nützlich, wenn man konkret nach einer Software oder Sicherheitslücke sucht.

Eine Kombination aus all den genannten Quellen dürfte einem wohl einen recht guten Eindruck von derzeit offenen, relevanten Sicherheitslücken bieten. Leider kostet das aber sehr viel Zeit, sich auf diese Weise auf dem Laufenden zu halten.

Frage: Wie hält ihr euch auf dem Laufenden was Sicherheitslücken betrifft? Gerade wenn ihr professionell Systeme betreut: Verwendet Ihr spezielle Services, die einem technologieübergreifend über die wichtigsten Lücken informieren? Ich würde mich über ein paar Erfahrungsberichte freuen!

[debilian]

die Seite finde ich eigentlich ganz gelungen:
https://www.cvedetails.com

gruss

[TRex]

Es gibt ne Menge Tools und auch Anbieter, die die CVE-Daten verarbeiten und mit den aus den verschiedenen Paketierungstools entstehenden Abhängigkeitsgraphen für dich kombinieren/auswerten.

Das klappt natürlich auf Anhieb nur mit _deiner_ Software - wenn du irgendwas großes fertiges wie mediawiki einsetzt, dann kannst du schauen, ob du von denen auch sowas bekommen kannst und es dagegen werfen (in der Annahme, dass du das machen musst und es nicht bereits existiert, oder du das selbst prüfen willst, ggf. sogar selbst gebaut hast).

https://owasp.org/www-project-dependency-check/

Wenn heise oder so davon berichtet, existiert auch bereits eine CVE-ID, es sollte also schneller sein, wenn du einen ausreichend schnell getakteten Check irgendwo laufen lässt und die Mails (oder wie auch immer du dich davon benachrichtigen lässt) davon auch liest. Gut eingestellte Schwellwerte helfen dabei.

[paedubucher]

Danke schon einmal für die Hinweise!

Bei CVE Details bekommt man ja einen guten Monatsüberblick, wenn man absteigend nach score sortiert. Leider ist das Produkt bzw. Projekt nicht überall auf den ersten Blick ersichtlich, weswegen man sich durchklicken muss.

Der OWASP Dependency-Check scheint gut in ein Java/Jenkins-Umfeld zu passen. Ist jetzt nicht genau das, was ich brauche. Danke trotzdem für den Hinweis!

Da die CVE-Datenbank offen ist, sollte ich da vielleicht mal selber irgend einen kleinen Service für meine Zwecke zurechthacken. So kann ich mir die richtigen Informationen automatisch herausziehen.

[TRex]

https://pypi.org/project/dependency-check/

Gibts auch schon aber ich glaub von der Beschreibung, dass es vermutlich schlanker ist, dir nen eigenen Client zu basteln.

[paedubucher]

https://pypi.org/project/dependency-check/

Gibts auch schon aber ich glaub von der Beschreibung, dass es vermutlich schlanker ist, dir nen eigenen Client zu basteln.

Solche Tools prüfen halt punktuell Projekte; aber wir haben ja nicht nur Python-Komponenten im Einsatz. Mir geht es eher darum, einen Überblick über alles zu bekommen. Eine Liste aller meiner eingesetzter Komponenten zusammenzustellen ist praktisch unmöglich. Aber wenn ich auf einer Liste eine Lücke von Komponente XY mit Score 8 und höher sehe, kann ich schon mal schauen, was das überhaupt für eine Komponente ist, und herausfinden, ob die bei mir auch im Einsatz ist.

Die CVE-Einträge erwähnen die betroffene Komponente ja nur im Text; teilweise nicht mal das. Diese Roheinträge sind darum für mich völlig nutzlos. Die betroffene Komponente müsste ein eigenes Feld sein.

[TRex]

Eine Liste aller meiner eingesetzter Komponenten zusammenzustellen ist praktisch unmöglich.

Wieso? Von welcher Art Komponenten reden wir hier? Ich bin jetzt von Python-Paketen, Go-Paketen und ähnlichem ausgegangen. Für debian-Paketnamen gibts das sicher auch. Ich weiß nicht, wie debian seine eigenen CVEs pflegt (security-tracker).

[paedubucher]

Eine Liste aller meiner eingesetzter Komponenten zusammenzustellen ist praktisch unmöglich.

Wieso? Von welcher Art Komponenten reden wir hier? Ich bin jetzt von Python-Paketen, Go-Paketen und ähnlichem ausgegangen. Für debian-Paketnamen gibts das sicher auch. Ich weiß nicht, wie debian seine eigenen CVEs pflegt (security-tracker).

Schauen wir uns mal die aktuelle CVE-Seite an. Was ist dort zu lesen?

• In Realtek eCos RSDK 1.5.7p1 and MSDK 4.9.4p1... (Positivbeispiel, hier sehe ich gerade die betroffene Komponente)
• Library Management System v1.0 (Was soll denn das bitte sein?)
• A cross-site scripting (XSS) vulnerability in /admin/list_key.html of HestiaCP (HestiaCP steht hier irgendwo weiter hinten im Satz)
• usw.

Man kann es irgendwie herauslesen, aber das müsste doch ein separates Feld sehen, damit ich danach filtern, suchen indizieren usw. kann. Hier muss man einfach recht viel Text manuell absuchen, um herausfinden zu können, welche Komponenten derzeit bekannte Sicherheitslücken aufweisen.

[TRex]

Äh ja... okay. Irgendwie bin ich zu sehr auf libs fokussiert. Schau dir mal hier die CPE an: https://nvd.nist.gov/vuln/detail/cve-2021-20190 das sind verschiedene Klassifizierungen. Die Tools übersetzen das in ihre "Sprache" (was mitunter auch mal zu false positives führen kann) und matchen so gegen das Inventar/pom/...