angespielt: cvechecker

Gestern einmal cvechecker gebaut und dann angetestet. Das Konzept ist ganz spannend.

cvechecker prüft gegen eine Datenbank und eine lokal erzeugte Liste von binaries, ob es dafür bekannte CVE gibt. Dafür braucht man als Backend MySQL oder sqllite. Wenn man die Datenbank mit den CVE und den Erkennungsmustern befüllt hat, dann kann man einen oder mehrere Clients lokal scannen. Dabei werden die erkannten binaries dann mit einem CVSS Score reportet:

File „/usr/bin/openssl“ (CPE = cpe:/a:openssl:openssl:1.0.1f:::) on host ubuntu (key ubuntu)
Potential vulnerability found (CVE-2014-0195)
CVSS Score is 6.8
Full vulnerability match (incl. edition/language)
File „/usr/bin/openssl“ (CPE = cpe:/a:openssl:openssl:1.0.1f:::) on host ubuntu (key ubuntu)
Potential vulnerability found (CVE-2014-0198)
CVSS Score is 4.3

Das sieht schon sehr nett aus, stellt sich aber im Fall von ubuntu als false positive heraus.

root@ubuntu:~# apt-get changelog openssl

— Marc Deslauriers <marc.deslauriers@ubuntu.com>  Mon, 02 Jun 2014 13:57:34 -0400

openssl (1.0.1f-1ubuntu2.1) trusty-security; urgency=medium

  * SECURITY UPDATE: denial of service via use after free
    – debian/patches/CVE-2010-5298.patch: check s->s3->rbuf.left before
      releasing buffers in ssl/s3_pkt.c.
    – CVE-2010-5298
  * SECURITY UPDATE: denial of service via null pointer dereference
    – debian/patches/CVE-2014-0198.patch: if buffer was released, get a new
      one in ssl/s3_pkt.c.
    – CVE-2014-0198

 — Marc Deslauriers <marc.deslauriers@ubuntu.com>  Fri, 02 May 2014 15:23:01 -0400

 

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s