WTF! CVE's worden DWF's

Meer kwetsbaarheden dan registraties frustreren beveiligers.

Het duurt onderzoekers te lang voordat kwetsbaarheden een officiële CVE krijgen toegewezen, waardoor disclosure, patches en exploitatietests langer op zich laten wachten. Dat moet anders.

Beveiligingsonderzoekers stellen dat overheidsorganisatie MITRE, uitvoerder van het CVE-systeem, te traag reageert op meldingen en er veel meer ontdekte kwetsbaarheden zijn dan CVE's. Dat betekent dat softwarefouten te lang op de plank blijven liggen, waardoor programma's en systemen nog langer onbeveiligd blijven.




CVE wordt DWF

Een aantal onderzoekers, dat deels anoniem wenst te blijven (wat je vaak ziet bij IT-beveiligers omdat ze in dienst zijn van bedrijven die het niet leuk vinden om geassocieerd te worden met buitenschoolse activiteiten), heeft daarvoor Distributed Weakness Filing (DWF) opgetuigd. In dit systeem krijgen aangesloten onderzoekers jaarlijks een blok van 1000 ID's die ze naar hartenlust kunnen gebruiken om gevonden kwetsbaarheden te registreren.

De groei van kwetsbaarheden is MITRE ook opgevallen, die hierom in 2013 de syntaxis van CVE's veranderde. Registraties van gaten hadden maximaal vier cijfers na het jaartal, dus CVE-2012-1234. Omdat er tegenwoordig wel meer dan 10.000 registraties van kwetsbaarheden nodig zijn, voegt MITRE nu een extra cijfer (of twee, of drie) toe vanaf het moment dat het nodig is, dus zonder dat CVE-2016-1234 bijvoorbeeld CVE-2016-01234 moet worden.

MITRE dwingen tot actie

CVE's worden overigens ook in DWF verwerkt, waarbij de syntaxis vertaald wordt naar het alternatief. Zo wordt het GNU C Library-gat vertaald van CVE-2015-7547 naar DWF-2015-7547. Tegenover The Register zeggen deelnemers dat ze hopen MITRE tot actie te bewegen om sneller te werken en dat DWF in dat geval met pensioen kan gaan. Zo niet, dan kun je straks over DWF's in plaats van CVE's lezen.