Meldung

Tool findet Open-Source-Sicherheitslücken automatisch

Google hat die sogenannte "Open-Source-Vulnerabilities-Website" ins Leben gerufen. Sie bietet Verantwortlichen von Open-Source-Projekten eine API, um Sicherheitslücken in betroffenen Versionen schneller zu identifizieren. Gleichzeitig beinhaltet die Website eine Schwachstellendatenbank mit Hinweisen zu Patches.
Mithilfe der OSV-Website von Google lassen sich Schwachstellen in Open-Source-Projekten schneller finden.
Die "Open-Source-Vulnerabilities-Website" (OSV) [1] untersucht jede Schwachstelle mithilfe einer automatisierten Analyse, um die genauen betroffenen Commit- und Versionsbereiche zu bestimmen. Für Interessenten stellt OSV eine API [2] zur Verfügung, mit der sie abfragen können, ob ihre Versionen betroffen sind oder nicht.

Laut Google [3] ist es für Verantwortliche von Open-Source-Projekten schwierig, einer Schwachstelle einen CVE-Eintrag (Common Vulnerabilities and Exposures) innerhalb der verwendeten Paketversion zuzuweisen. Das liegt daran, dass Versionsschemata in vorhandenen Schwachstellenstandards nur unzureichend mit den tatsächlichen Open-Source-Versionsschemata übereinstimmen, die normalerweise Versionen/Tags und festgeschriebene Hashes sind. Google warnt in diesem Zusammenhang davor, dass Sicherheitslücken übersehen werden könnten, was dann auch die Benutzer der Projekte beeinträchtigt.

Bei 10 Millionen Repositories auf GitHub, die täglich wachsen, ist es kaum mehr möglich, Schwachstellen zuverlässig zu identifizieren und nachzuverfolgen. Selbst wenn ein Projektbetreuer die Absicht hat, ein Sicherheitsproblem in allen betroffenen Versionen des Projektcodes zu beheben, fehlen in der Realität oftmals die Ressourcen, um eine umfassende Liste der betroffenen Projekte zu erstellen, geschweige denn alles zu entwickeln und zu patchen.
16.02.2021/jm

Nachrichten

Kritische Schwachstellen: Exchange-Server in Gefahr [5.03.2021]

Firmen sollten ihre Exchange-Server dringend patchen. Angreifern ist es ansonsten möglich, die Kontrolle über die Server zur übernehmen und Zugriff auf vertrauliche Daten zu erhalten. Aufgrund des Schweregrads der Schwachstellen hat Microsoft Updates außer der Reihe bereitgestellt. Über ein Skript können Firmen zudem die vorhandene Serverversion prüfen. [mehr]

Zugriffssteuerung unter Linux [4.03.2021]

Mit der neusten Version des Privilege Managers von Thycotic lassen sich Least-Privilege-Zugriffskontrollen ab sofort auch auf Workstations, die auf Unix und Linux laufen, umsetzen. Ein neues Sudo-Plug-in ermöglicht es Unix- und Linux-Administratoren, granulare Kontrollen über sämtliche privilegierte Aktivitäten hinweg zu implementieren. [mehr]

Fachartikel

Machine Learning in Web Application Firewalls [10.02.2021]

Das Potenzial von Machine-Learning-Modellen in Sicherheitsprodukten wie Web Application Firewalls ist groß. Statistische Lösungsansätze bringen aber neue Gefahren mit sich. Die Kunst ist, zu erkennen, in welchen Bereichen die Systeme einen tatsächlichen Mehrwert liefern und wie diese gestaltet werden müssen, um Anforderungen an Sicherheit und laufenden Betrieb zu erfüllen. Fundiertes Fachwissen im Bereich Applikationssicherheit und Machine Learning ist dabei zentral für den Erfolg eines solchen Projekts. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen