Änderung bei Schwachstelleninformationen zum Linux-Kernel

Seit Mitte Februar ist das Kernel-Projekt als CVE Numbering Authority (CNA) für Schwachstellen im Linux-Kernel akzeptiert und ist damit die autoritative Stelle für die Vergabe von CVE-IDs (siehe https://lwn.net/Articles/961961/, https://lwn.net/Articles/961978/). Da einige einflussreiche Projektmitglieder der Auffassung sind, dass prinzipiell alle Programmfehler auf dieser Betriebssystemebene sicherheitsrelevant sein können, werden seitdem ca. 100 CVE-IDs pro Woche für den Kernel vergeben (siehe Linux CVE Mailing List Archive: https://lore.kernel.org/linux-cve-announce/). Dieses Vorgehen ist als Kritik am Grundkonzept der Vergabe von CVE-IDs und an auf CVE-IDs basierenden Compliance-Regeln zu verstehen. Schadhafte Auswirkungen bzw. die Möglichkeit einer gezielten Ausnutzung der so veröffentlichten "Schwachstellen" lassen sich dabei oftmals nicht erkennen.

Die Distributionen haben den kritisierten Regeln folgend zuletzt begonnen, diese Kernel-"Schwachstellen" in ihren Sicherheitsupdates aufzulisten und die Patches umzusetzen. In den Schwachstelleninformationen des DFN-CERT werden bei umfangreicheren Kernelupdates zukünftig nur noch Schwachstellen berücksichtigt, bei denen die Patchbeschreibungen eine erhöhte Sicherheitsrelevanz nahelegen. Insbesondere werden Programmfehler ohne klar erkennbare Sicherheitsrelevanz und lediglich lokal ausnutzbare Denial-of-Service (DoS)-Schwachstellen nicht mehr von uns beschrieben. Wir weisen im Hauptteil der Schwachstelleninformationen (Advisory) in solchen Fällen mit einem Standardsatz auf die fehlenden Schwachstellen hin. Die Einträge bei NIST zu allen Schwachstellen finden Sie weiterhin als "Zusätzliche Information" in den Referenzen.

Wir hoffen, dass wir damit Ihre und unsere Arbeitslast in den üblichen Grenzen halten können und beobachten die weiteren Entwicklungen rund um die Kernelschwachstellen und das Vergabesystem für Schwachstellen-IDs insgesamt genau.