- Das CVE-Programm von MITRE hätte wegen des Auslaufens eines DHS-Finanzierungsvertrags am 16. April 2025 um Mitternacht beinahe eingestellt werden müssen, doch CISA zog eine Vertragsoptionsperiode und verhinderte so eine Lücke
- Laut informierten Kreisen beträgt die Verlängerung 11 Monate; CISA betrachtet CVE als Kerndienst für die Cyber-Community und als Priorität der Behörde
- Da die zusätzliche Finanzierung für den Betrieb des CVE- und des CWE-Programms am Morgen des 16. April bestätigt wurde, konnte die geplante Serviceunterbrechung vermieden werden
- CVE ist der De-facto-Standard für die Identifizierung und Verwaltung von Schwachstellen und bildet die Grundlagendaten, auf die NVD, CISA vulnrichment, Produkte von Sicherheitsanbietern, CERTs und unternehmensinterne Schwachstellendatenbanken angewiesen sind
- Warum der Vertrag auslief, ist unklar; bei einer tatsächlichen Unterbrechung wäre die Aufnahme neuer CVE-Einträge gestoppt worden, während bestehende Einträge über GitHub bereitgestellt worden wären
Verhinderte Unterbrechung durch CISA-Notverlängerung
- MITREs Common Vulnerabilities and Exposures, also das CVE-Programm, sollte am 16. April 2025 um Mitternacht mit dem Auslaufen des Vertrags mit dem DHS enden
- Durch die Aktivierung einer Vertragsoptionsperiode durch CISA kommt es nun nicht zu einer Serviceunterbrechung des MITRE-CVE-Programms
- CISA erklärte, CVE sei für die Cyber-Community von großer Bedeutung und eine Priorität der Behörde
- Man habe die Vertragsoptionsperiode aktiviert, um sicherzustellen, dass es bei den zentralen CVE-Diensten keine Lücke gibt
- Laut informierten Kreisen läuft die Vertragsverlängerung 11 Monate
- Yosry Barsoum von MITRE erklärte, dass durch das Eingreifen der Regierung eine Unterbrechung des CVE-Programms und des Common Weakness Enumeration, also des CWE-Programms, vermieden wurde
- Stand Morgen des 16. April 2025 habe CISA die zusätzliche Finanzierung zur Aufrechterhaltung des Programmbetriebs bestätigt
- MITRE halte an seiner Position fest, CVE und CWE als globale Ressource zu erhalten
Das ursprünglich geplante Vertragsende und seine Folgen
- Mit Stand 15. April 2025 informierte MITRE das CVE Board darüber, dass mit dem Auslaufen des DHS-Vertrags die Finanzierung für die Pflege der CVE-Datenbank wegfallen würde
- Vom Vertragsende betroffen waren die Arbeiten von MITRE zur Entwicklung, zum Betrieb und zur Modernisierung des CVE-Programms sowie das zugehörige CWE-Programm
- Sasha Romanosky von der Rand Corporation bewertet die CVE-Benennung und die Zuordnung nach Softwarepaket und Version als Fundament des Ökosystems für Software-Schwachstellen
- Ohne CVE würde es schwieriger, neu entdeckte Schwachstellen nachzuverfolgen
- Auch die Bewertung der Schwere, die Vorhersage von Exploits und Entscheidungen über Patches könnten ins Wanken geraten
- Ben Edwards von Bitsight bezeichnete CVE als wertvolle Ressource, die unbedingt finanziert werden müsse, und nannte die Nichtverlängerung des Vertrags einen Fehler
- Dank des föderierten Frameworks und der Offenheit von CVE könnten andere Stakeholder den Betrieb grundsätzlich übernehmen
- Ein Wechsel des Betreibers könnte jedoch in der Übergangsphase schwierig werden
Die Rolle von CVE im Schwachstellen-Ökosystem
- Das CVE program von MITRE ist eine tragende Säule des globalen Cybersecurity-Ökosystems und der De-facto-Standard für die Identifizierung von Schwachstellen sowie die Orientierung von Vulnerability-Management-Programmen auf Verteidigerseite
- CVE-Daten liefern Basisinformationen für Produkte von Anbietern in den Bereichen Vulnerability Management, Cyber Threat Intelligence, Security Information, Event Management sowie Endpoint Detection and Response
- NIST ergänzt über die National Vulnerability Database, also die NVD, die CVE-Einträge von MITRE um zusätzliche Informationen
- Auch CISA hat als Reaktion auf die Unterfinanzierung des NVD-Programms die CVE-Einträge von MITRE über das vulnrichment-Programm angereichert
- MITRE ist der ursprüngliche Autor der CVE records und fungiert als zentrale Quelle zur Identifizierung von Sicherheitslücken
Erwartete Kettenreaktionen im Fall einer Unterbrechung
- Brian Martin, CSO des Projekts Security Errata und ehemaliges Mitglied des CVE Board, geht davon aus, dass der Wegfall der MITRE-Finanzierung sofortige Kettenreaktionen im globalen Schwachstellenmanagement auslösen würde
- Im föderierten Modell könnten die CVE Numbering Authorities, also CNAs, keine IDs mehr vergeben und Informationen zur schnellen Veröffentlichung an MITRE übermitteln
- Die NVD basiert auf CVE und hat bereits einen Rückstand von mehr als 30.000 Schwachstellen sowie über 80.000 als „deferred“ markierte Einträge
- „deferred“ bezeichnet Einträge, die nach aktuellem Stand nicht vollständig analysiert werden
- Auch Unternehmen mit eigener Schwachstellendatenbank müssten nach alternativen Intelligence-Quellen suchen
- Betroffen sein könnten nationale Schwachstellendatenbanken einschließlich derer in China und Russland, Hunderte bis Tausende nationale und regionale CERTs weltweit sowie unternehmensweite Schwachstellenmanagement-Programme, die auf CVE/NVD angewiesen sind
Unklare Gründe für das Vertragsende und die Haushaltslage der Regierung
- Warum das DHS den Vertrag des seit 25 Jahren finanzierten CVE-Programms beenden wollte, ist unklar
- Die Trump-Regierung hat die Staatsausgaben insgesamt gekürzt, insbesondere im Rahmen von Elon Musks Initiative Department of Government Efficiency
- Das DHS hat das MITRE-CVE-Programm über CISA finanziert, und CISA musste bereits zwei Haushaltskürzungen hinnehmen
- Berichten zufolge sind weiterhin fast 40 % der CISA-Belegschaft, also rund 1.300 Personen, von Entlassungen bedroht
- Laut informierten Kreisen sind die Betriebskosten des CVE-Programms im Vergleich zu Haushaltskürzungen in anderen Bereichen der Bundesregierung gering und würden die Finanzen nicht „zum Einsturz bringen“
Private Alternativen und befristete Gegenmaßnahmen
- Ohne Vertragsverlängerung hätte MITRE ab Mitternacht des 16. April 2025 keine neuen Einträge mehr in die CVE-Datenbank aufgenommen
- Bestehende CVE-Einträge sollten über GitHub bereitgestellt werden
- Patrick Garrity von VulnCheck meint, dass das Schwachstellen-Ökosystem nach dem Scheitern der NIST NVD im Vorjahr geschwächt sei und Auswirkungen auf das CVE-Programm für Verteidiger und die Security-Community schädlich sein könnten
- VulnCheck reservierte vorsorglich 1.000 CVEs für 2025, da unklar war, welche Dienste von MITRE oder dem CVE-Programm betroffen sein würden
- CISA erklärte, dass CVE von Regierung und Industrie genutzt wird, um technische Schwachstellen offenzulegen, zu klassifizieren und zu teilen, und dass dies auch Informationen zu Schwachstellen betrifft, die kritische nationale Infrastrukturen gefährden könnten
1 Kommentare
Meinungen auf Hacker News
Dazu gibt es laufende Threads: CVE Foundation – https://news.ycombinator.com/item?id=43704430, Replacing CVE – https://news.ycombinator.com/item?id=43708409
Der Vertrag wurde verlängert: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
Vermutlich auf unbestimmte Zeit. DOGE mag ein Haufen Idioten sein, aber im gesamten DOD gibt es auch Leute, die keine Idioten sind
Falls es noch nicht aufgefallen ist: Sie arbeiten nach dem Prinzip Zero-Based Budgeting. Erst alles streichen und nur das wirklich Wichtige wieder zurückholen. Erst kürzen, dann Fragen stellen
Wichtig ist auch, dass MITRE ein DoD-Auftragnehmer ist. Dass das CVE-Programm von einem Unternehmen betrieben wird, das vom US-Militär finanziert wird, kann in einem Ökosystem, das auf Neutralität und weltweites Vertrauen angewiesen ist, Bedenken wegen Interessenkonflikten hervorrufen
In letzter Zeit versuche ich, ans Ende des ursprünglichen Titels [fixed] zu setzen, um Leser über die Statusänderung zu informieren. Ich weiß nicht, ob das die beste Lösung ist, und bin mir auch nicht sicher, ob die Sache wirklich gelöst ist, aber es scheint besser zu sein, als gar nichts zu tun. Den Artikel und den Titel eines bestehenden Threads zu ändern, könnte sich wie ein ziemlich heftiger Schlag ins Gesicht anfühlen
Der Vertrag lief heute aus, aber es gab eine Optionsperiode bis März 2026, und DHS musste diese Option nur ausüben
Korrektur: Das Vertragsende ist heute, der 16. April; wenn die Option nicht ausgeübt worden wäre, wäre die Leistung heute um Mitternacht eingestellt worden. Bei Regierungsverträgen ist es üblich, dass so etwas bis zur letzten Minute geht, und oft verzögert sich auch die Ausübung von Optionen. Aber warum gab es ausgerechnet in diesem Fall so einen Aufruhr? Hat CISA MITRE signalisiert, dass die Option nicht ausgeübt wird?
Ich hätte mir gewünscht, dass so etwas nicht passiert. Ich frage mich, welche Silo-Struktur innerhalb von DHS dazu geführt hat, dass die Nachteile nicht als groß genug gesehen wurden
Ich glaube nicht, dass irgendein Experte auf diesem Gebiet entschieden gesagt hätte: „Kann man abschaffen, brauchen wir nicht.“ Wenn man sie gefragt hätte, hätten sie wohl eindringlich gesagt: „Bitte nicht anfassen, wir brauchen das“
Es wirkt aber möglich, dass hochrangige Finanzverantwortliche bei „eigenen Recherchen“ falsch verstanden haben, wie andere CVE nutzen und wer es finanziert
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
Und noch sehr viele weitere. Seit Monaten ist es eine komplette Katastrophe, und an diesem Punkt könnte der Gedanke sein, den Ansatz drastisch zu ändern
All das ist kriminelles Handeln der aktuellen Regierung
Eine Allianz von Mitgliedern des CVE-Boards hat eine neue CVE Foundation gegründet, „um die langfristige Überlebensfähigkeit, Stabilität und Unabhängigkeit des Common Vulnerabilities and Exposures (CVE) Program zu gewährleisten“
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
Produktanbieter haben einen Anreiz, den CVE-Vergabeprozess passend zu ihrem eigenen Patch-Zeitplan zu manipulieren, und Sicherheitsfirmen haben einen Anreiz, sich durch bevorzugten Zugriff auf die CVE-Datenbank einen Wettbewerbsvorteil zu verschaffen
Es ist nicht unmöglich, dass eine kommerziell finanzierte Organisation eine solche Vereinnahmung vermeidet, aber einfach ist es auch nicht. Mir fällt sofort die Beziehung zwischen der Mozilla Foundation und Google ein
Edit: Ihr könnt ruhig downvoten. Die Formulierung war vielleicht zu scharf, sodass der Punkt unterging. Interessant ist, wie leicht Nicht-Sicherheitsexperten auf Namen, Zitate und Autorität hereinfallen
Vertrauen entsteht nicht über Nacht, und vollständig entsteht es eigentlich nie. Fachleute für Informationssicherheit werden auf eine solche Supply-Chain-Umgehung mit ungewisser Zukunft nicht leicht hereinfallen. Ich hoffe, dass wir diesen Gedanken nicht bald testen müssen, aber ein gewisses Maß an Verlässlichkeit und langfristiger Automatisierung ist nötig. Was gebraucht wird, ist ein technisches, breit konsentiertes System, nicht eine „Stiftung“
Die eigentliche Ironie ist, dass viele Y-Combinator-Gründer und HN-Leser genau zu denen gehörten, die so etwas möglich gemacht haben, und sich jetzt fragen, warum die Schlange ihren eigenen Schwanz frisst
Sie, oder zumindest einige von ihnen, könnten darin eine Möglichkeit sehen, diese Funktion zu übernehmen und damit Geld zu verdienen. Es ist ein wiederkehrender Einnahmestrom, ein wertvolles Abo-Modell, und die Kunden brauchen diesen Dienst wirklich. Falls sie ihn nicht brauchen, kann man im Namen der IT-Sicherheit neue Gesetze erlassen, die ein Abo erzwingen
Also in einer Welt, in der NOAA abgewickelt ist und man zahlen muss, um Warnungen vor durch den Klimawandel verstärkten Mega-Hurrikans zu bekommen. Und genau derselbe rücksichtslose, unregulierte Gier hat auch diesen Klimawandel verursacht. Milliardäre sollte es nicht geben, aber Millionäre genauso wenig
Gab es nicht auch große Probleme mit der aktuellen CVE-Implementierung? Insbesondere, dass Script Kiddies und AI-Tools die Datenbank zuspammen und Projekte, die Sicherheit ernst nehmen, kaum Mitspracherecht bei den ihnen zugewiesenen „Scores“ haben
Die Scores sind größtenteils nutzlos; wenn sie verschwänden, wäre es mir wohl egal, und tatsächlich schaue ich sie mir nicht einmal an. Ich verstehe allerdings nicht ganz, warum sich die Leute über schlechte Scores so aufregen
Wenn ein hoher CVSS-Score viel Arbeit auslöst, ist der Vulnerability-Management-Prozess kaputt. Oder man macht Compliance-Arbeit, keine Security-Arbeit. Wenn man Compliance nicht mag, ist der CVSS-Score nicht die eigentliche Ursache des Schmerzes
Eine zentrale Liste, die stabile IDs an Dinge vergibt, die einen interessieren können oder auch nicht, ist sehr wertvoll
Trotzdem ist das Score-Problem kein guter Grund, das gesamte CVE-System niederzubrennen
Von „das hat Mängel“ zu „also schaffen wir es ab“ zu springen, ist ein logischer Fehlschluss. Ein fehlerhaftes Sicherheitsregister ist offensichtlich besser als gar kein Sicherheitsregister
Wer schon einmal CVE-Management in Open-Source-Software gemacht hat, weiß vermutlich bereits, dass die Kürzungen bei der NVD-Finanzierung seit über einem Jahr andauern.
April 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
Das NIST betreibt die National Vulnerability Database (NVD). Sie ist ein zentraler Bestandteil der nationalen Cybersecurity-Infrastruktur. Durch die Zunahme von Software und damit auch von Schwachstellen sowie durch veränderte Unterstützung zwischen Behörden wächst der Rückstau bei Schwachstellen. Geprüft werden auch langfristige Lösungen, etwa die Bildung eines Konsortiums aus Industrie, Regierung und anderen Stakeholder-Organisationen, die an der Forschung zur Verbesserung der NVD mitwirken können.
September 2024, Yocto Project, „An open letter to the CVE Project and CNAs“: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
„Sicherheit und der Umgang mit Schwachstellen in Software werden immer wichtiger. Jüngste Ereignisse haben die Fähigkeit vieler Projekte beeinträchtigt, Probleme zu identifizieren und rechtzeitig zu beheben. Das ist sehr besorgniserregend. Bis vor Kurzem haben wir uns oft nicht auf die Daten des CVE-Projekts verlassen, sondern auf die NVD-Daten, die diese Informationen ergänzt haben.“
Vor fünf Jahren, 2019, half ich bei der Vorbereitung einer Präsentation des CERT Director von Carnegie Mellon; schon damals ging es um den CVE-Rückstau und mangelnde Ressourcen. Ein erheblicher Teil der gemeldeten Schwachstellen erhielt nicht einmal eine CVE-Nummer. Seitdem ist die Warteschlange länger geworden und die Finanzierung gesunken, aber die Aufrufzahlen lagen im Jahresdurchschnitt unter 100: https://www.youtube.com/watch?v=WmC65VrnBPI
Die Finanzierung scheint heute ausgelaufen zu sein, und beide Zitate klingen so, als werde weitergearbeitet und als sei diese Arbeit wichtig.
Soll das heißen, dass es seit über einem Jahr irgendeine Bedrohung für die NVD gibt? Ich möchte nur sicherstellen, dass ich es richtig verstehe.
Der Artikel sagt, dass die Menge an Software-Schwachstellen zunimmt und dass CVE- und NVD-Projekt Schwierigkeiten haben, damit Schritt zu halten.
Ich wünschte, man würde aufhören, diesen Thread ständig mit politischem Spin zu überziehen.
Ich frage mich, was in den letzten Wochen sonst noch still verschwunden ist unter den Dingen, von deren Existenz die meisten Menschen nicht einmal wissen, die aber für die Gesellschaft wichtig sind.
Von diesem Fall haben wir erfahren, weil wir wissen, dass er wichtig ist. Was wissen wir alles nicht?
Selbst wenn ich versuche, es so wohlwollend wie möglich auszulegen, fällt mir wirklich kein nicht böswilliger Grund ein, der das rechtfertigen könnte.
Die derzeitige Führung scheint Dinge nicht zu verstehen, die nicht glamourös sind. Ich frage mich, wann die Lebensmittelsicherheit zurückgedreht wird. RFK kennt bestimmt ein paar Vitamine, die Salmonellen verhindern.
Das ist eines der Dinge, die der Staat im öffentlichen Interesse tut.
Oder sie wollen ihre eigenen alternativen Risiko-Priorisierungsscores verkaufen. Jedes Unternehmen nutzt NVD- und CVE-Daten gern, will aber keine Subvention zahlen, die auch Wettbewerbern hilft. Besonders in einer so hart umkämpften Branche wie Cybersecurity.
Die MITRE Corporation macht auch vieles andere und scheint 2,2 Milliarden Dollar Jahresumsatz zu haben.
Billionenschwere Unternehmen profitieren von diesem System und tragen auch dazu bei; könnten sie nicht etwa 0,01 % ihres Umsatzes für diesen kleinen Teil kritischer Infrastruktur aufbringen?
Steelmanning ist ein Neologismus, der außer als Signal innerhalb der eigenen Gruppe keinen Nutzen hat. Für dasselbe Konzept gab es bereits einen völlig guten Begriff, nämlich den nuancierteren und geschichtlich reicheren „charitability“.
Der große Unterschied ist, dass es bei charitability darum geht, den Gegenüber zu respektieren. Steelmanning bedeutet eher, mit der eigenen Intelligenz das Argument des anderen besser zu machen, als er es selbst getan hat.
Charitability basiert auf gegenseitigem Respekt; daher kann man fragen, warum man wohlwollend sein sollte, wenn jemand ganz offensichtlich keinerlei Respekt für mich hat. Steelmanning versucht, Person und Argument zu trennen, und ist ironischerweise zugleich arrogant und naiv.
Grundursache: Layer-8-Fehler
https://www.computerhope.com/jargon/l/layer8.htm