CVE-Programm droht nach gescheiterter DHS-Vertragsverlängerung ein vorzeitiges Aus

 (csoonline.com)
2 Punkte von GN⁺ 2025-04-17 | 1 Kommentare | Auf WhatsApp teilen
  • Das CVE-Programm von MITRE ist ein Kernelement der Cybersicherheit und spielt eine wichtige Rolle bei der Identifizierung und Verwaltung von Sicherheitslücken.
  • CISA hat den Vertrag mit MITRE verlängert und damit eine Unterbrechung des CVE-Programms verhindert.
  • Die Vertragsverlängerung soll 11 Monate laufen und wird von der globalen Cyber-Community unterstützt.
  • Ein Vertragsende könnte große Auswirkungen auf das Cybersicherheits-Ökosystem haben und alternative Lösungen erforderlich machen.
  • Der private Sektor, etwa VulnCheck, bemüht sich darum, mögliche Lücken des CVE-Programms zu schließen.

Gefahr eines Vertragsendes zwischen DHS und MITRE

  • Das CVE-Programm von MITRE ist eine wichtige Cybersicherheits-Datenbank, die seit 25 Jahren gepflegt wird.
  • Weil das DHS den Vertrag nicht verlängerte, drohte das Programm eingestellt zu werden.
  • CISA verhinderte die Unterbrechung des Programms durch eine Vertragsverlängerung.

Bedeutung des CVE-Programms

  • Das CVE-Programm ist eine Grundlage des globalen Cybersicherheits-Ökosystems und unverzichtbar für die Identifizierung und Verwaltung von Sicherheitslücken.
  • NIST und CISA liefern zusätzliche Informationen, doch MITRE ist die Hauptquelle der CVE-Einträge.
  • Eine Unterbrechung des Programms könnte erhebliche Auswirkungen auf das globale Sicherheitsmanagement haben.

Hintergrund des Vertragsendes

  • Die Gründe für die Entscheidung des DHS, den Vertrag zu beenden, sind nicht klar.
  • Als Hauptursache werden Kürzungen im Staatshaushalt vermutet.
  • Die Betriebskosten des CVE-Programms sind vergleichsweise gering.

Ausblick

  • MITRE plant, ab dem 16. April keine neuen CVE-Einträge mehr hinzuzufügen.
  • Bestehende Einträge sollen auf GitHub weiterhin verfügbar bleiben.
  • Der private Sektor könnte alternative Lösungen bereitstellen.

Verwandte Nachrichten

  • Experten weisen darauf hin, dass die Finanzierung von MITRE weiterhin unsicher ist.
  • Die neue Malware ResolverRAT richtet sich weltweit gegen Organisationen im Gesundheitswesen und in der Pharmabranche.
  • Aktuelle Patch-News zu Sicherheitslücken in Windows und SAP-Apps

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-04-17
Hacker-News-Kommentare
  • Es gibt laufende Diskussionen über die CVE Foundation
  • Der Vertrag mit MITRE wurde verlängert
  • Mitglieder des CVE Board wollen eine neue CVE Foundation gründen, um die langfristige Stabilität und Unabhängigkeit des CVE-Programms zu sichern
  • Aufgrund der Trennung zwischen Abteilungen innerhalb des DHS scheint man die negativen Seiten dieses Problems nicht ausreichend erkannt zu haben
  • Offenbar haben ranghohe Finanzabteilungen, die die Bedeutung des CVE-Programms nicht erkannt haben, eine falsche Entscheidung getroffen
  • Viele ycombinator-Gründer und Hacker-News-Leser haben dieses Problem mit ermöglicht und stellen nun dessen Folgen infrage
  • Das lässt einen darüber nachdenken, welche anderen gesellschaftlich wichtigen Dinge in den vergangenen Wochen womöglich stillschweigend verschwunden sind
  • Es gab erhebliche Probleme bei der aktuellen CVE-Umsetzung. Insbesondere haben Script Kiddies und AI-Tools die Datenbank mit Spam gefüllt, während Projekte, die Sicherheit ernst nehmen, die Bewertung kaum beeinflussen konnten
  • Personen, die CVEs in OSS-Software verwalten, wissen bereits, dass die Kürzungen bei der NVD-Finanzierung seit über einem Jahr andauern
  • NIST betreibt die National Vulnerability Database (NVD), einen zentralen Bestandteil der nationalen Cybersicherheitsinfrastruktur
  • Mit der Zunahme von Software steigt auch die Zahl der Schwachstellen, und Veränderungen bei der Unterstützung zwischen Behörden erschweren deren Bearbeitung
  • Als langfristige Lösung wird die Gründung eines Konsortiums aus Industrie, Regierung und anderen Stakeholder-Organisationen in Betracht gezogen
  • Das Yocto Project hat einen offenen Brief an das CVE Project und die CNAs geschickt und seine Sorge geäußert, dass die jüngsten Ereignisse die Identifizierung und Behebung von Schwachstellen im Projekt negativ beeinflusst haben
  • Vor fünf Jahren hat der CERT Director der Carnegie Mellon den CVE-Backlog und den Ressourcenmangel thematisiert; viele gemeldete Schwachstellen erhalten keine CVE-Nummer
  • Der aktuelle Vertrag für MITREs Beteiligung an den Programmen CVE und CWE läuft vom 17. April 2024 bis zum 16. April 2025 mit einem Volumen von USD$29.1m; eine Verlängerung auf bis zu USD$57.8m ist möglich
  • Ob der Vertrag vom 16. April 2025 bis zum 16. April 2026 verlängert wird, ist noch nicht entschieden, und es gibt auch keinen öffentlich zugänglichen Ansatz für einen Ersatzvertrag