Schwachstellenbewertung: Kritik an CVSS und CVE von Open Source-Entwickler

Daniel Stenberg ist der Schöpfer von cURL, einem beliebten Open Source-Kommandozeilentool. In einem aktuellen Blogeintrag richtet er erneut scharfe Kritik an der CVE-Datenbank. Insbesondere das CVSS » das Schwachstellenbewertungssystem « steht hierbei in der Schusslinie.



Risiken im CVSS-Scoring


Stenberg hebt hervor. Dass CVSS-Bewertungsprozess von Natur aus riskant ist. Die Gefahr von Fehleinschätzungen ist enorm. Diese wird zudem dadurch verstärkt, dass autorisierte Stellen wie die US-Behörde CISA jederzeit CVEs mit eigenen Punkten ergänzen können. Dies führt zu potenziellen Ungenauigkeiten.



In der Vergangenheit war die NVD (National Vulnerability Database) zuständig für die nachträgliche Ergänzung von CVE-Einträgen. Doch seit dem vergangenen Jahr hat die CISA diese Aufgabe übernommen. In einem GitHub-Repository, das dem sogenannten "Vulnrichment-Projekt" zugeordnet ist arbeitet die Behörde daran nicht nur alte, allerdings ebenfalls neue Einträge zu vervollständigen.



Ablehnung von CVSS


Bereits im September des letzten Jahres hat Stenberg gegen einen fehlerhaften CVE-Eintrag protestiert. Auch vorangegangene Blogeinträge beinhalteten grundlegende Kritik am CVSS. Sein neuer Post trägt den aufsehenerregenden Titel "CVSS is dead to us". Darin erklärt Stenberg, dass das cURL-Team seit Jahren ein eigenes, vereinfachtes Bewertungssystem mit vier Schweregraden verwendet.



Für Stenberg sind die CVSS-Bewertungskriterien nur dann nützlich, wenn genaue Kenntnisse über die Nutzung des Hard- oder Softwareprodukts vorliegen. Da cURL jedoch in vielfältigen Anwendungsszenarien und Umgebungen eingesetzt wird, sind diese Kriterien kaum anwendbar.



Freiwillige Scores vs. Autoritäre Eingriffe


Stenberg stellt klar, dass die Hinzufügung eines CVSS-Punktwerts zu CVEs nicht zwingend erforderlich ist. Das cURL-Team könnte auf diese Informationen verzichten. Allerdings respektiert die CISA diesen Verzicht nicht. Die Behörde hat sich zur Aufgabe gemacht, "unvollständige" Einträge zu korrigieren. Diese Tätigkeit geschieht ohne Rücksprache mit den CNAs und betrifft auch die CVEs von cURL.



Zufällige Bewertungen und Überforderung


Die Zeit die dem Vulnrichment-Team pro CVE zur Verfügung steht ist begrenzt. Dies führt dazu, dass das Team möglicherweise nicht genug Informationen über jede einzelne Schwachstelle hat. Stenberg sieht hier eine erhöhte Gefahr von Fehlern in der Bewertung. Beispielhaft nennt er die Schwachstelle CVE-2024-11053 welche zunächst vom cURL-Team als "Low" eingestuft wurde. Die CISA hingegen bewertete sie als "critical" mit einem CVSS-Base-Score von 9.1, hielt diesen Bewertungsprozess jedoch nicht lange aufrecht.



Für Stenberg ist dies ein Zeichen für die Unberechenbarkeit der Punktzahlen. ADPs scheinen überfordert zu sein, da ihre Bewertungen ohne detailliertes Wissen im CVSS-Rechner erstellt werden.



Reaktionen aus der Community


Die Reaktionen auf Stenbergs Kritik fallen gemischt aus. Einige zeigen sich solidarisch; während andere zurückhaltend sind. Ein Mitglied des IT-Sicherheitsteams von Go berichtete von ähnlichen Erfahrungen mit CISAs "Enrichment".



Andere Stimmen äußern, dass die grundsätzliche Kritik an CVSS übertrieben sei. Ein Kommentator weist darauf hin: Das volle Potenzial von Schwachstellenbewertungen häufig nicht ausgeschöpft wird. Die Anpassungsmöglichkeiten an zeitliche Veränderungen oder an die Umgebung des betroffenen Systems werden oft nicht genutzt. Ein weiterer Kommentator schlägt vor die Bedeutung des Base-Scores besser zu kommunizieren.






Kommentare


Anzeige