Sehr viele Security-Schwachstellen erhalten keine CVE-Nummer

CVE-Nummern versus Security-Schwachstellen (Grafik: Risk Based Security).
2017 wurden 20'832 Schwachstellen entdeckt, dies hat das US-Unternehmen Risk Based Security gezählt. Derselbe Bericht zeigt erneut auch auf, dass die Entdeckung nicht immer zur Folge hat, dass die Lücke auch eine offizielle CVE-ID (Common Vulnerabilities and Exposures) erhält. Im Gegenteil, laut Risk Based Security haben 2017 nur 12'932 eine CVE-Nummer erhalten und 7900 keine.
 
Beides ist rekordverdächtig, das zeigt eine Grafik aus dem Bericht (s. oben). Dieser ist hier gegen Angabe von persönlichen Informationen downloadbar.
 
Weil sie keine CVE-Nummer haben, ist es für alle Interessierten, ob Security-Anbieter oder -Anwender, sehr schwer, die Lücken zu identifizieren, Zugang zu technischen Infos zu kriegen oder diese zu patchen.
 
Warum man es nicht schafft, alles zu inventarisieren, ist unklar, als einer der Gründe listet 'Bleeping Computer' das rasante Wachstum von IoT-Schwachstellen auf, welches alle überfordere. Der Anspruch von Verantwortlichen ist es, dass das Inventar "umfassend" sei, aber man erhebt nicht den Anspruch auf Vollständigkeit.
 
Die Anzahl von fehlenden CVE-Nummern ist immer wieder Gegenstand von Kritik, in 'CSO Online' wurde letzten Juli gesagt, rund ein Drittel sei nicht kategorisiert worden. Es tauchen Forderungen nach Automatisierung auf, um mit der schieren Zahl von Schwachstellen mithalten zu können.
 
Die Liste der CVE wird von der Mitre Corporation geführt und gilt als Industriestandard, um Sicherheitslücken eindeutig zu identifizieren. (mag)