Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

14.09.2006

Datenbank informiert über Sicherheitslecks

Hersteller machen Schwachstellen ihrer Produkte in der NVD publik.

Die Neuerung geht auf einen Vorschlag von Red Hat zurück. Die Linux-Company hatte sich an das National Institute of Standards and Technology (Nist) gewandt und die Idee präsentiert, dass Anbieter künftig die im Internet verfügbare National Vulnerability Database (NVD) nutzen könnten, um Informationen über Sicherheitslecks in ihren Produkten publik zu machen. Bislang bietet die NVD offizielle Angaben zu bestätigten Schwachstellen in IT-Produkten.

Gezielte Informationen

Basis hierfür ist der Standard Common Vulnerabilities and Exposures (CVE). Zusätzlich zu diesen genormten Informationen enthält die NVD Analysen, eine Datenbank und eine Suchfunktion. Anwender können sich über die NVD gezielt über Schwachstellen in bestimmten Produkten informieren.

Geht es nach dem Willen von Red Hat, dann können Interessierte über die NVD künftig auch Anleitungen zur Konfiguration und Fehlerbeseitigung, Klarstellungen zur Ausnutzbarkeit von Schwachstellen, tiefer gehende Analysen oder Stellungnahmen der Hersteller zu von Dritten gefundenen Fehlern abrufen. Um über die Plattform veröffentlichen zu können, müssen sich Hersteller für einen NVD-Account registrieren.

Das Nist begrüßt die Idee: Softwareanbieter verfügten über das größte Wissen über ihre Produkte und seien am besten in der Lage, zu Schwachstellen Stellung zu nehmen. Der neue Service soll der gesamten Softwareentwicklungsgemeinschaft zur Verfügung stehen.

Es soll so ein laut Red Hat "offenes, transparentes Forum" geschaffen werden, zu dem die Linux-Company als Erste Echtzeit-Updates liefern will. Das Unternehmen sieht darin eine "Verbesserung der Kommunikationswege und -mechanismen" und somit laut seinem Security Response Director Mark Cox "eine weitere Möglichkeit, unseren Kunden zu helfen". Es bleibt nun abzuwarten, in welchem Umfang weitere Hersteller diese neue Möglichkeit nutzen werden. (ave)