In Folge 5 von Passwort geht es um eindeutige Kennzeichnungen von
"Common Vulnerabilities and Exposures", also die bekannten CVE-Nummern,
mit denen Sicherheitslücken identifiziert werden. Die Hosts Christopher
und Sylvester besprechen, welchen Zweck CVEs haben, wie und von wem die
Nummern vergeben werden und wo es hapert. Allzu rosig sieht die Zukunft
von CVE-Nummern nämlich nicht aus. Es gibt diverse Probleme und
Kritiker, unter anderem die Entwickler des Linux-Kernels. Die halten
wenig von speziellen Kennzeichnungen für Security-Bugs und vermitteln
ihre Sicht der Dinge mit dem Holzhammer.
CVE-Datenbanken:
* CVE-Suche von Mitre: https://www.cve.org
* CVE-Suche der NVD: https://nvd.nist.gov/vuln/search
Beispiele für Problem-CVEs
* Curl:
https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
& https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/
* PostgreSQL:
https://www.postgresql.org/about/news/cve-2020-21469-is-not-a-security-vulnerability-2701/
* KeePassXC: https://keepassxc.org/blog/2023-06-20-cve-202335866/
* Azure: https://heise.de/-9755370
CVE-Regeln
* Regelwerk für CNAs:
https://www.cve.org/ResourcesSupport/AllResources/CNARules
* Vorgehen der Kernel-CNA: https://docs.kernel.org/process/cve.html
* Talk von Greg KH zu CVEs:
https://kernel-recipes.org/en/2019/talks/cves-are-dead-long-live-the-cve/
