Wie informiert ihr euch über Sicherheitslücken?
- paedubucher
- Beiträge: 856
- Registriert: 22.02.2009 16:19:02
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Schweiz
-
Kontaktdaten:
Wie informiert ihr euch über Sicherheitslücken?
Von gröberen Sicherheitslücken liest man ja auf heise.de oder golem.de meistens innert recht kurzer Zeit. Von richtig grossen Lücken (z.B. Heartbleed) vernimmt man ja sogar etwas über die Mainstream-Medien.
Von den ganzen anderen Sicherheitslücken erfährt man durch verschiedenste Quellen, sofern man diese auch aktiv liest. Auch einige Tools werfen teilweise Sicherheitswarnungen über veraltete Software, welche Sicherheitslücken aufweisen. So erfährt man aber meist nur durch Zufall von einer Sicherheitslücke.
Die CVE-Datenbank bietet eine sehr umfassende Sammlung. Die ist besonders nützlich, wenn man konkret nach einer Software oder Sicherheitslücke sucht.
Eine Kombination aus all den genannten Quellen dürfte einem wohl einen recht guten Eindruck von derzeit offenen, relevanten Sicherheitslücken bieten. Leider kostet das aber sehr viel Zeit, sich auf diese Weise auf dem Laufenden zu halten.
Frage: Wie hält ihr euch auf dem Laufenden was Sicherheitslücken betrifft? Gerade wenn ihr professionell Systeme betreut: Verwendet Ihr spezielle Services, die einem technologieübergreifend über die wichtigsten Lücken informieren? Ich würde mich über ein paar Erfahrungsberichte freuen!
Von den ganzen anderen Sicherheitslücken erfährt man durch verschiedenste Quellen, sofern man diese auch aktiv liest. Auch einige Tools werfen teilweise Sicherheitswarnungen über veraltete Software, welche Sicherheitslücken aufweisen. So erfährt man aber meist nur durch Zufall von einer Sicherheitslücke.
Die CVE-Datenbank bietet eine sehr umfassende Sammlung. Die ist besonders nützlich, wenn man konkret nach einer Software oder Sicherheitslücke sucht.
Eine Kombination aus all den genannten Quellen dürfte einem wohl einen recht guten Eindruck von derzeit offenen, relevanten Sicherheitslücken bieten. Leider kostet das aber sehr viel Zeit, sich auf diese Weise auf dem Laufenden zu halten.
Frage: Wie hält ihr euch auf dem Laufenden was Sicherheitslücken betrifft? Gerade wenn ihr professionell Systeme betreut: Verwendet Ihr spezielle Services, die einem technologieübergreifend über die wichtigsten Lücken informieren? Ich würde mich über ein paar Erfahrungsberichte freuen!
Habe nun, ach! Java
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Re: Wie informiert ihr euch über Sicherheitslücken?
-- nichts bewegt Sie wie ein GNU --
Re: Wie informiert ihr euch über Sicherheitslücken?
Es gibt ne Menge Tools und auch Anbieter, die die CVE-Daten verarbeiten und mit den aus den verschiedenen Paketierungstools entstehenden Abhängigkeitsgraphen für dich kombinieren/auswerten.
Das klappt natürlich auf Anhieb nur mit _deiner_ Software - wenn du irgendwas großes fertiges wie mediawiki einsetzt, dann kannst du schauen, ob du von denen auch sowas bekommen kannst und es dagegen werfen (in der Annahme, dass du das machen musst und es nicht bereits existiert, oder du das selbst prüfen willst, ggf. sogar selbst gebaut hast).
https://owasp.org/www-project-dependency-check/
Wenn heise oder so davon berichtet, existiert auch bereits eine CVE-ID, es sollte also schneller sein, wenn du einen ausreichend schnell getakteten Check irgendwo laufen lässt und die Mails (oder wie auch immer du dich davon benachrichtigen lässt) davon auch liest. Gut eingestellte Schwellwerte helfen dabei.
Das klappt natürlich auf Anhieb nur mit _deiner_ Software - wenn du irgendwas großes fertiges wie mediawiki einsetzt, dann kannst du schauen, ob du von denen auch sowas bekommen kannst und es dagegen werfen (in der Annahme, dass du das machen musst und es nicht bereits existiert, oder du das selbst prüfen willst, ggf. sogar selbst gebaut hast).
https://owasp.org/www-project-dependency-check/
Wenn heise oder so davon berichtet, existiert auch bereits eine CVE-ID, es sollte also schneller sein, wenn du einen ausreichend schnell getakteten Check irgendwo laufen lässt und die Mails (oder wie auch immer du dich davon benachrichtigen lässt) davon auch liest. Gut eingestellte Schwellwerte helfen dabei.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
- paedubucher
- Beiträge: 856
- Registriert: 22.02.2009 16:19:02
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Schweiz
-
Kontaktdaten:
Re: Wie informiert ihr euch über Sicherheitslücken?
Danke schon einmal für die Hinweise!
Bei CVE Details bekommt man ja einen guten Monatsüberblick, wenn man absteigend nach score sortiert. Leider ist das Produkt bzw. Projekt nicht überall auf den ersten Blick ersichtlich, weswegen man sich durchklicken muss.
Der OWASP Dependency-Check scheint gut in ein Java/Jenkins-Umfeld zu passen. Ist jetzt nicht genau das, was ich brauche. Danke trotzdem für den Hinweis!
Da die CVE-Datenbank offen ist, sollte ich da vielleicht mal selber irgend einen kleinen Service für meine Zwecke zurechthacken. So kann ich mir die richtigen Informationen automatisch herausziehen.
Bei CVE Details bekommt man ja einen guten Monatsüberblick, wenn man absteigend nach score sortiert. Leider ist das Produkt bzw. Projekt nicht überall auf den ersten Blick ersichtlich, weswegen man sich durchklicken muss.
Der OWASP Dependency-Check scheint gut in ein Java/Jenkins-Umfeld zu passen. Ist jetzt nicht genau das, was ich brauche. Danke trotzdem für den Hinweis!
Da die CVE-Datenbank offen ist, sollte ich da vielleicht mal selber irgend einen kleinen Service für meine Zwecke zurechthacken. So kann ich mir die richtigen Informationen automatisch herausziehen.
Habe nun, ach! Java
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Re: Wie informiert ihr euch über Sicherheitslücken?
https://pypi.org/project/dependency-check/
Gibts auch schon aber ich glaub von der Beschreibung, dass es vermutlich schlanker ist, dir nen eigenen Client zu basteln.
Gibts auch schon aber ich glaub von der Beschreibung, dass es vermutlich schlanker ist, dir nen eigenen Client zu basteln.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
- paedubucher
- Beiträge: 856
- Registriert: 22.02.2009 16:19:02
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Schweiz
-
Kontaktdaten:
Re: Wie informiert ihr euch über Sicherheitslücken?
Solche Tools prüfen halt punktuell Projekte; aber wir haben ja nicht nur Python-Komponenten im Einsatz. Mir geht es eher darum, einen Überblick über alles zu bekommen. Eine Liste aller meiner eingesetzter Komponenten zusammenzustellen ist praktisch unmöglich. Aber wenn ich auf einer Liste eine Lücke von Komponente XY mit Score 8 und höher sehe, kann ich schon mal schauen, was das überhaupt für eine Komponente ist, und herausfinden, ob die bei mir auch im Einsatz ist.TRex hat geschrieben:24.08.2022 19:12:12https://pypi.org/project/dependency-check/
Gibts auch schon aber ich glaub von der Beschreibung, dass es vermutlich schlanker ist, dir nen eigenen Client zu basteln.
Die CVE-Einträge erwähnen die betroffene Komponente ja nur im Text; teilweise nicht mal das. Diese Roheinträge sind darum für mich völlig nutzlos. Die betroffene Komponente müsste ein eigenes Feld sein.
Habe nun, ach! Java
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Re: Wie informiert ihr euch über Sicherheitslücken?
Wieso? Von welcher Art Komponenten reden wir hier? Ich bin jetzt von Python-Paketen, Go-Paketen und ähnlichem ausgegangen. Für debian-Paketnamen gibts das sicher auch. Ich weiß nicht, wie debian seine eigenen CVEs pflegt (security-tracker).paedubucher hat geschrieben:25.08.2022 07:41:16Eine Liste aller meiner eingesetzter Komponenten zusammenzustellen ist praktisch unmöglich.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
- paedubucher
- Beiträge: 856
- Registriert: 22.02.2009 16:19:02
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Schweiz
-
Kontaktdaten:
Re: Wie informiert ihr euch über Sicherheitslücken?
Schauen wir uns mal die aktuelle CVE-Seite an. Was ist dort zu lesen?TRex hat geschrieben:25.08.2022 08:54:49Wieso? Von welcher Art Komponenten reden wir hier? Ich bin jetzt von Python-Paketen, Go-Paketen und ähnlichem ausgegangen. Für debian-Paketnamen gibts das sicher auch. Ich weiß nicht, wie debian seine eigenen CVEs pflegt (security-tracker).paedubucher hat geschrieben:25.08.2022 07:41:16Eine Liste aller meiner eingesetzter Komponenten zusammenzustellen ist praktisch unmöglich.
- In Realtek eCos RSDK 1.5.7p1 and MSDK 4.9.4p1... (Positivbeispiel, hier sehe ich gerade die betroffene Komponente)
- Library Management System v1.0 (Was soll denn das bitte sein?)
- A cross-site scripting (XSS) vulnerability in /admin/list_key.html of HestiaCP (HestiaCP steht hier irgendwo weiter hinten im Satz)
- usw.
Habe nun, ach! Java
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.
Re: Wie informiert ihr euch über Sicherheitslücken?
Äh ja... okay. Irgendwie bin ich zu sehr auf libs fokussiert. Schau dir mal hier die CPE an: https://nvd.nist.gov/vuln/detail/cve-2021-20190 das sind verschiedene Klassifizierungen. Die Tools übersetzen das in ihre "Sprache" (was mitunter auch mal zu false positives führen kann) und matchen so gegen das Inventar/pom/...
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht