| |
 |
| CVE-katalogisierte Schwachstellen: Anstieg um Faktor 4 seit Januar? |
|
|
Veröffentlicht durch XTaran am Dienstag 22. Februar 2005, 17:42
Aus der Traue-keiner-Statistik-die-du-nicht-selbst-gefälscht-hast Abteilung
|
|
|
|
|
Nachdem ich gerade über HeiSec auf CAN-2005-0490 ("Multiple stack-based buffer overflows in libcURL and cURL") gestoßen bin, ist mir aufgefallen, daß die höchsten mir bekannten 2004er IDs des Common Vulnerabilities and Exposures Projects (CVE) im Bereich von 1200 bis 1300 liegen, wir aber dieses Jahr bereits vor Ende Februar bei Nr. 500 der 2005er CVE-IDs sind. Und habe mal ein bißchen gerechnet...
|
|
|
|
|
|
|
2004 gab es ingesamt nur knapp über 1300 Schwachstellen mit einer CVE-ID, dazu kamen ca. 400 im Jahre 2005 nachträglich dem Jahr 2004 zugeordnete (ca. CVE-IDs CAN-2004-1300 bis CAN-2004-1700). 2003 waren es etwas weniger: Über 1000 Schwachstellen plus ca. 50 nachträglich dem Jahr 2003 zugeordnete. D.h. während vom CVE-Projekt im letzten Jahr nur ca. 1350 Schwachstellen katalogisiert wurden, wurden dieses Jahr bereits vor Ende Februar über 900 Schwachstellen katalogisiert. Hochgerechnet auf das Jahr macht das über 5500 CVE-katalogisierte Schwachstellen für 2005. Das ist mehr als Faktor 4. Und selbst wenn man jede ID zu dem Jahr zählt, dem sie zugeordnet ist (und nicht dem, in dem sie zugewiesen wurde), ergibt das immer noch den Faktor 2.
Auch wenn das teilweise mit dem Bekanntheitsgrad des CVE-Projektes zusammenhängen könnte, kann ich mir trotzdem nicht vorstellen, daß plötzlich innerhalb von zwei Monaten die Anzahl der katalogisierten Schwachstellen nur durch den Bekanntheitsgrad um den Faktor 4 (oder meinetwegen auch Faktor 2) steigen kann. Selbst durch ein gestiegenes Sicherheitsbewußtsein kann ich mir das kaum vorstellen. Allerhöchstens durch die Kombination von beidem. Aber irgendwie ist mir das trotzdem unheimlich.
Wo sehen die Symlink-Leser die Ursache für diesen Boom? In der Bekanntheit des CVE-Projektes? Im gestiegenen Sicherheitsbedürfnis? Im Boom der Security-Anbieter? Beantragt jetzt plötzlich jeder Hansel für Bugs in seinen Basic-Programmen CVE-IDs? Ganz woanders? Oder habe ich mich verrechnet?
|
|
|
|
< Sony killt Clie endgültig | Druckausgabe | Französischer Aufschrei gegen Google Print > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
Von Anonymer Feigling am Tuesday 22. February 2005, 22:44 MEW (#1)
|
|
|
|
|
http://www.idefense.com/poi/teams/vcp.jsp
|
|
|
|
|
|
|
|
|
|
|
|
|
gibt ja auch die böse behauptung das patchen bald nichts mehr bringt, da die exploits schneller kommen als die patches.
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
|
Hm, das sind ja nur die entdeckten Sicherheitslücken. Es kann ja sein, das einfach mehr gefunden werden, das muss nichts negatives sein, denn ne Sicherheitslücke existiert unabhängig davon, ob einer weis dass sie existiert.
Blöp
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Jo, das ist das, was ich mir unter den Folgen eines gestiegenen Sicherheitsbewußtseins oder des Booms der Security-Branche vorstelle...
--
There is no place like $HOME
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es gibt auch noch die Theorie, dass bestimmte Firmen, die für fehlerhafte Software berüchtigt sind, das Ansehen ihrer Konkurrenz schädigen wollen, indem sie möglichst viele Fehlerberichte über deren Software veröffentlichen. Ganz so unwahrscheinlich ist das IMHO nicht...
Gleichzeitig ist mir aufgefallen, dass die durchschnittliche Relevanz der Meldungen abgenommen hat. Immer wieder mal finden sich Falschmeldungen, Duplikate, Unexploitbares oder sonstwie Unkritisches. Auch immer wieder mal kommen Berichte, wie ein Fehlverhalten zu Problemen führen kann. Das ist sicher wichtig, gehört aber nicht unbedingt auf eine Bugtrack Liste.
--
Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Naja, die CVE Entries sind um einiges kürzer,
du meinst die CAN,
also die Candidates für CVE (siehe CVE Naming Process).
Ich denke, der Anstieg ist ganz natürlich. Vorallem durch das Wachstum von OpenSource wird immer mehr Software geschrieben und der breiten öffentlichkeit zur verfügung gestellt. Gleichzeitig interessieren sich wohl auch immer mehr Leute für Security, und nehmen Software unter die Lupe.
Ausserdem werden immer mehr Lücken ohne allzu grossen Belang entdeckt (z.b. das ). Früher wurden wohl vorallem Stack/Heap Overflows gemeldet, heute strotzt Bugtraq nur so von XSS Attacken (heute muss ja alles übers WWW laufen), oder DoS, Verlust von Secrets etc.
Informationen über Sicherheit (Analyse, Exploitation etc) findet sich zuhauf, all das PHP/Perl/Python etc Zeugs ist ja auch im Source für jedermann verfüg- und anschaubar. Die Windows Internals sind gut erforscht, Debugging/Dissasembler Software haben sich auch weiterentwickelt und vereinfachen so die Suche nach Bugs (vorallem in so komplexer Software wie Internet Explorer).
Allgemein kann man imho den Trend beobachten, dass die Server Software (FTP, WWW, EMail etc Server) heutzutage relativ secure ist. Die meisten Lücken werden in Client Software entdeckt (WWW Boards, Browser, Dateibetrachter wie xpdf, Backup Software etc), und von denen gibt es noch zuhauf.
Auch werden heutzutage Stack Overflows afaik an jeder Uni in den "Advanced Computing" Studiengängen unterrichtet, mindestens als Optionaler Kurs...
Würde mich eher verwundern, wenn weniger Sicherheitslücken veröffentlicht werden.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Jep, ganz klar sind die Hauptschuldigen diese doofen Cross-Site-Scripting Dinger. Und natürlich D.J. Bernstein, der ist immer schuld ;)))
--
"The more prohibitions there are, The poorer the people will be"
-- Lao Tse
|
|
|
|
|
|
