Joomla gab heute bekannt, dass sie als neues CVE-Mitglied (CNA = CVE Numbering Authority) in das international tätige CVE-Programm aufgenommen wurde. Damit kann sie ab sofort selbstständig ihre eigenen CVE-Nummern verwalten.
Was ist das CVE-Programm?
CVE steht als Abkürzung für Common Vulnerabilities and Exposures. Es ist ein internationales, community-basiertes Projekt, welches ein offenes Datenregister von Software-Schwachstellen (Sicherheitslücken) führt. Die über das Register zugewiesenen CVE-IDs ermöglichen es den Software-Nutzern, Schwachstellen schnell zu identifizieren, um sich vor Angriffen der eigenen Systemen zu schützen.
Das CVE-Programm verfügt derzeit über 144 Mitglieder, die aus 24 verschiedenen Ländern stammen. Joomla ist nun ein weiteres Mitglied davon.
Hier ein Beispiel eines solchen Registereintrags. Klickst du bei den Update-Ankündigungen bei den Sicherheitsmeldungen auf den jeweiligen Link, gelangst du direkt zur Beschreibung der Lücke. Jeder dieser Beschreibungen verweist auf einen entsprechenden CVE-Katalogeintrag. Joomla nutzt das Verzeichnis schon seit vielen Jahren.
Werbung
Was bringt diese Aufnahme als CVE-Mitglied?
Die CVE-Katalogeinträge gibt es seit Geburt von Joomla. Bisher wurden insgesamt 1237 Katalogeinträge zu Schwachstellen in Joomla erfasst. Auch ohne Mitgliedschaft würde diese Katalogisierung der Joomla Schwachstellen weitergehen.
Aber als Mitglied (CNA) darf man selbstständig CVE-IDs für Sicherheitslücken zuweisen. In der Vergangenheit musste das JSST die IDs zum Zeitpunkt der Veröffentlichung bei MITRE anfordern welche diese anschliessend den Schwachstellen zuteilte. Jetzt kann man als eigenständiger CNA die Schwachstellen selber im Voraus einer ID zuweisen und diesen Katalog eigenständig verwalten.
Ein weiterer Vorteil für das Joomla Projekt (nicht für den Endbenutzer) ist es, dass vor dem Veröffentlichen eines CVE’s über Joomla, nun vorab das JSST kontaktiert werden muss. Aktuell bewertete das MITRE die Anfragen selber. Sie hatten jedoch nicht das erforderliche Detailwissen über Joomla oder über alle anderen Erweiterungen, um eine Eingabe seriös bewerten zu können.
Darum konnte das JSST bisher die CVE’s erst angehen, wenn sie bereits veröffentlicht wurden. Jetzt kann man die Veröffentlichung fragwürdiger Berichte schon im Vorne herein verhindern.
Dies ist eine grosse Anerkennung von der MITRE Corporation gegenüber dem Joomla-Projekt und zeugt von grossem Vertrauen gegenüber dem JSST.
Wie schätzt du diese Ankündigung von Joomla ein? Wusstest du, was sie bedeutet und findest du es gut, dass es solche Ankündigungen von Partnerschaften und Kooperationen gibt? Lass es uns unten in den Kommentaren diskutieren.
Quelle: joomla.org
