Joomla gab heute bekannt, dass sie als neues Mitglied (CNA = CVE Numbering Authority) in das international tätige CVE-Programm aufgenommen wurde. Damit kann sie ab sofort selbstständig ihre eigenen CVE-Nummern verwalten.
CVE steht als Abkürzung für Common Vulnerabilities and Exposures. Es ist ein internationales, community-basiertes Projekt, welches ein offenes Datenregister von Software-Schwachstellen (Sicherheitslücken) führt. Die über das Register zugewiesenen CVE-IDs ermöglichen es den Software-Nutzern, Schwachstellen schnell zu identifizieren, um sich vor Angriffen der eigenen Systemen zu schützen.
Das CVE-Programm verfügt derzeit über 144 Mitglieder, die aus 24 verschiedenen Ländern stammen. Joomla ist nun ein weiteres Mitglied davon.
Hier ein Beispiel eines solchen Registereintrags. Klickst du bei den Update-Ankündigungen bei den Sicherheitsmeldungen auf den jeweiligen Link, gelangst du direkt zur Beschreibung der Lücke. Jeder dieser Beschreibungen verweist auf einen entsprechenden CVE-Katalogeintrag. Joomla nutzt das Verzeichnis schon seit vielen Jahren.
Die CVE-Katalogeinträge gibt es seit Geburt von Joomla. Bisher wurden insgesamt 1237 Katalogeinträge zu Schwachstellen in Joomla erfasst. Auch ohne Mitgliedschaft würde diese Katalogisierung der Joomla Schwachstellen weitergehen.
Aber als Mitglied (CNA) darf man selbstständig CVE-IDs für Sicherheitslücken zuweisen. In der Vergangenheit musste das JSST die IDs zum Zeitpunkt der Veröffentlichung bei MITRE anfordern welche diese anschliessend den Schwachstellen zuteilte. Jetzt kann man als eigenständiger CNA die Schwachstellen selber im Voraus einer ID zuweisen und diesen Katalog eigenständig verwalten.
Ein weiterer Vorteil für das Joomla Projekt (nicht für den Endbenutzer) ist es, dass vor dem Veröffentlichen eines CVE’s über Joomla, nun vorab das JSST kontaktiert werden muss. Aktuell bewertete das MITRE die Anfragen selber. Sie hatten jedoch nicht das erforderliche Detailwissen über Joomla oder über alle anderen Erweiterungen, um eine Eingabe seriös bewerten zu können.
Darum konnte das JSST bisher die CVE’s erst angehen, wenn sie bereits veröffentlicht wurden. Jetzt kann man die Veröffentlichung fragwürdiger Berichte schon im Vorne herein verhindern.
Dies ist eine grosse Anerkennung von der MITRE Corporation gegenüber dem Joomla-Projekt und zeugt von grossem Vertrauen gegenüber dem JSST.
Wie schätzt du diese Ankündigung von Joomla ein? Wusstest du, was sie bedeutet und findest du es gut, dass es solche Ankündigungen von Partnerschaften und Kooperationen gibt? Lass es uns unten in den Kommentaren diskutieren.
Quelle: joomla.org
Joomla! 4.0 soll mit Bootstrap 5 ausgeliefert werden. Damit soll die Zukunftssicherheit von Joomla! 4… Weiterlesen
Das Joomla! 3.9.24 Update behebt drei Sicherheits-Lecks sowie 39 gemeldete Probleme, die in diesem Release… Weiterlesen
Soeben ist Joomla 4 Beta 6 erschienen und enthält viele Verbesserungen die seit der Beta… Weiterlesen
Seit Dezember 2020 kann man auf GitHub beim Joomla!-Projekt nicht nur über Issues diskutieren. Das… Weiterlesen
Hast du dich auch schon mal gefragt, wie es neue Funktionen in den Joomla! Core… Weiterlesen
Angeregt durch einen Artikel auf Googles web.dev Blog, hat Tobias Zulauf ein Joomla Plugin geschrieben,… Weiterlesen
