Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
07 2024 Elektronik 25 EmbEddEd-SyStEmE z B Bibliotheken und Skripte innerhalb des Root-Dateisystems zu erstellen Man müsste verschiedene Quellen mit sehr umfangreichen Inhalten sichten und ggf sogar mit geeigneten Werkzeugen selbst nach Sicherheitslücken und Schwachstellen suchen Ein möglicher Startpunkt wäre die bis ins Jahr 2001 zurückreichende CERT-Advisories-Liste der Carnegie Mellon University [1] Deutlich effektiver ist allerdings die Nutzung der MITRE-Common-Vulnerabilitiesand-Exposures CVE -Liste [2] im Internet – siehe hierzu auch den Abschnitt »Was sind CVEs?« Über eine Webseite wie www cvedetails com lässt sich die gesamte Liste der bisher veröffentlichten CVEs sehr komfortabel durchsuchen Mit Suchbegriffen wie »Linux 2 4« »BusyBox 0 60« »GNU gcc« und »GNU glibc« erhält man eine Übersicht bekannter Sicherheitslücken Der Umfang überraschte allerdings alleine zum Linux-Kernel 2 0 sind schon ca 1 900 Sicherheitslücken zu finden Zu jedem CVE wird ein Common-Vulnerability-Scoring-System CVSS -Wert mit einer Ampelfarbe zum Schweregrad der jeweiligen Sicherheitslücke angezeigt Im Rahmen der Vorbereitung eines Backporting sind daher mehrere Tausend CVEs zu sichten und zu bewerten Spätestens nach dieser Erkenntnis war dem Entwicklerteam allerdings klar dass eine solche Vorgehensweise nicht infrage kommt Als einzige mögliche Handlungsalternative wurde der Einsatz eines aktuellen Linux-Kernels plus eines ebensolchen Root-Dateisystems beschlossen Die Wahl fiel daher auf die Linux-Kernel-Version 6 1 für den ein 10-Jahres-Langzeit-Support bis August 2033 durch das Civil-Infrastructure-Platform CIP -Projekt existiert Das Root-Dateisystem basiert auf Debian Was sind CVEs? Die Abkürzung steht für »Common Vulnerabilities and Exposures« Mit »Vulnerabilities« sind ganz allgemein bekannte Sicherheitslücken und Schwachstellen in Computersystemen gemeint »Exposures« bedeutet in diesem Kontext in etwa »Enthüllung« bzw »Aufdeckung« Hinter der CVE-Idee steht ein umfangreiches Programm das Ende 1999 von US-Sicherheitsorganisationen geschaffen wurde um IT-Sicherheitslücken zu erfassen und in einem Standarddatenformat zu veröffentlichen Dadurch wurde ein Referenzsystem zur kontinuierlichen Verbesserung der Cybersicherheit erschaffen Inzwischen beteiligen sich im Rahmen einer hierarchischen Organisationsstruktur zahlreiche internationale Partner am CVE-Programm Als Root-Organisation dient die MITRE Corporation ein Dienstleister der US-Regierung Die Erfassung von Sicherheitslücken und Schwach - stellen erfolgt weltweit durch sogenannte CNAs CVE Numbering Authorities Dafür existiert ein CVE-Partnerprogramm Es beinhaltet u a einen speziellen Boarding-Prozess um neue Mitglieder einzubinden Ein Beispiel für eine CVE wäre das NFCbasierte Kreditkartenterminal eines elektronischen Kassensystems Ades Herstellers Bdas einem Angreifer das Auslesen der Kundenkreditkartenund Pin-Eingabedaten eines Bezahlvorgangs ermöglicht Nachdem diese Sicherheitslücke entdeckt innerhalb der CVE-Organisationsstrukturen gemeldet und geprüft wurde bekommt sie eine Registriernummer im Format »CVEyyyynnnn« In dieser CVE-ID ist »yyyy« die Jahreszahl der Veröffentlichung und »nnnn« die fortlaufende Nummerierung aller Veröffentlichungen in dem betreffenden Jahr Zwischen dem Entdecken einer Sicherheitslücke und der CVE-Veröffentlichung liegen manchmal allerdings größere Zeitspannen Zu jeder neuen Sicherheitslücke wird eine Kurzbeschreibung erstellt und durch Zusatzinformationen ergänzt Der finale CVE-Datensatz Record wird von einem CNA gemäß den organisatorischen Vorgaben zusammengestellt und mit Produktund Herstellernamen in der frei zugänglichen CVE-Datenbank gespeichert Danach ist eine Sicherheitslücke über die CVE-ID eindeutig referenzierbar Der gesamte CVE-Datenbestand ist im Internet über verschiedene Webseiten abfragund durchsuchbar also z Bdie Kombination »Hersteller GNU« und »Produkt Glibc« Als Suchbegriffe lassen sich beispielwiese Herstellerund Produktnamen nutzen Zur Integration in spezielle Werkzeuge sind die CVEs auch als JSON-Objekte unter GitHub verfügbar FLEXIBEL TESTEN MIT MASS INTERCONNECT STECKVERBINDERN