cve-explained
Wie man eine CVE liest: Schweregrad, Ausnutzung, Reihenfolge
Jeder Sicherheitsbefund im Scan-Bericht hat einen Schweregrad-Score und manchmal eine "wird bereits ausgenutzt"-Markierung. So lesen Sie diese Werte und entscheiden, was Sie zuerst beheben, wenn mehrere auftauchen.
Worum es geht
Eine CVE (Common Vulnerabilities and Exposures) ist eine
eindeutige Kennung für eine öffentlich bekannte Sicherheitslücke
in einer Software. Findet ein:e Forschende:r oder ein Anbieter
eine Lücke in z. B. einem Apache-Webserver oder einer
OpenSSH-Installation, bekommt sie eine CVE-Nummer. CVE-2024-3094
etwa war die xz-utils-Backdoor von Anfang 2024. Jede Datenbank,
jeder Scanner und jede Sicherheitsmeldung weltweit kann sich
danach eindeutig auf dieselbe Lücke beziehen.
Der blueredix-Scanner sieht sich die Software-Versionen Ihrer Server an (Webserver, Mailserver, SSH-Dienst usw.) und fragt öffentliche Datenbanken, welche CVEs auf diese Versionen zutreffen. Die Befunde in Ihrem Bericht sind die Antworten, gefiltert gegen Rauschen und nach realem Risiko priorisiert.
Wie CVEs bewertet werden
Jede CVE hat eine Zahl von 0 bis 10, den CVSS-Score. Er ergibt sich aus Faktoren wie:
- Wo der Angreifer sein muss: im Internet, im lokalen Netz oder vor der Maschine.
- Wie zuverlässig der Angriff funktioniert: jedes Mal oder nur unter ungewöhnlichen Bedingungen.
- Ob der Angreifer einen Account braucht oder Nutzer-Interaktion.
- Was der Angreifer gewinnt, wenn es klappt: Daten lesen, verändern, das System lahmlegen oder übernehmen.
Der Score übersetzt sich in eine Schwere-Stufe, die in den meisten Berichten verwendet wird:
| CVSS | Schwere | Typische Bedeutung |
|---|---|---|
| 9,0–10,0 | Kritisch | Übernahme aus dem Internet, ohne Account |
| 7,0–8,9 | Hoch | Ernst. Meist Datendiebstahl oder vollständige Systemkontrolle |
| 4,0–6,9 | Mittel | Für einen Angreifer brauchbar, mit Bedingungen |
| 0,1–3,9 | Niedrig | Klein. Meist lokal oder seltenes Timing |
CVSS hilft, hat aber Grenzen. Er sagt was passieren könnte, nicht wie wahrscheinlich ein Angriff aktuell ist.
Zwei weitere Werte, die helfen
Zwei zusätzliche Signale trennen “theoretisch ernst” von “wird gerade ausgenutzt”:
- EPSS ist eine täglich aktualisierte Wahrscheinlichkeit zwischen 0 und 1, dass eine CVE in den nächsten 30 Tagen aktiv ausgenutzt wird. Grundlage sind reale Signale wie veröffentlichter Exploit-Code, beobachtete Angriffe an Honeypots und Erwähnungen in einschlägigen Foren. Eine 9,8-CVSS mit EPSS 0,001 ist eine ernste Lücke, die niemand angreift. Eine 6,5-CVSS mit EPSS 0,7 wird jetzt gerade ausgenutzt.
- KEV (Known Exploited Vulnerabilities) ist eine Liste der US-Cyberbehörde mit CVEs, die bestätigt aktiv im Einsatz sind. Trägt ein Befund das KEV-Flag, sind funktionierende Angriffe nicht mehr hypothetisch. Sie sind im Umlauf.
Der blueredix-Bericht zeigt alle drei Signale, damit Sie sinnvoll priorisieren können.
Triage einer Liste von Befunden
Wenn mehrere CVEs in einem Scan auftauchen, hat sich diese Reihenfolge bewährt:
- Alles mit KEV-Flag. Diese Woche patchen. Angreifer nutzen es aktiv.
- CVSS 7+ UND EPSS 0,1+. Schwere Lücken mit messbarer Exploit-Aktivität. Diesen Monat patchen.
- CVSS 7+, aber niedriger EPSS. Ernst in der Theorie, keine bekannte aktive Ausnutzung. Im nächsten regulären Wartungsfenster patchen.
- CVSS unter 7. Niedrige Priorität. In einer “alles patchen”-Runde abarbeiten, wenn es passt.
Heuristik, keine Regel. Kontext zählt. Eine mittel-schwere Lücke in einem öffentlichen Admin-Panel ist gefährlicher als eine kritisch-schwere in einem Dienst, der nur intern erreichbar ist.
Was Sie konkret tun
Die Behebung ist bei nahezu jeder CVE dieselbe: die betroffene Software auf eine gepatchte Version aktualisieren. Die Frage ist, welche.
- OS-Pakete (die meiste Software auf einem Linux-Server, über den Paketmanager installiert). Der OS-Hersteller überträgt Sicherheitsfixes auf dieselbe Versionsnummer, die installierte Version kann also bereits gepatcht sein, auch wenn CVE-Datenbanken sie noch als verwundbar listen. Der blueredix-Scanner erkennt das für die großen Distributionen (Ubuntu, Debian, RHEL, SUSE) und verweist auf den Sicherheits-Tracker des Herstellers, statt jede CVE einzeln zu melden.
- Selbst installierte Software. Sicherheits-Advisory des Herstellers lesen, gepatchte Version identifizieren, aktualisieren.
- Vendor-Appliances (Firewalls, NAS, Drucker). Typischerweise ein Firmware-Update aus dem Support-Portal des Herstellers.
Wenn ein Patch nicht sofort möglich ist, enthalten Vendor-Advisories oft Mitigationen (Konfigurationsänderungen, Firewall-Regeln oder Feature-Schalter), die die Exposition bis zum Patch verkleinern.
Wo Sie tiefer einsteigen
Wenn Sie eine bestimmte CVE in Ihrem Bericht besser verstehen wollen, sind die folgenden Artikel nach Dienst-Art bzw. Bug-Art sortiert.
Nach Dienst-Art:
- Schwachstellen in Webservern (Apache, nginx, IIS, Caddy)
- Schwachstellen in OpenSSH
- Schwachstellen in Mailservern (Postfix, Exim, Dovecot)
- Schwachstellen in Datenbanken (MySQL, PostgreSQL, MongoDB, Redis)
- Schwachstellen in FTP-Servern
Nach Bug-Art:
- Remote Code Execution (RCE)
- SQL-Injection
- Cross-Site Scripting (XSS)
- Server-Side Request Forgery (SSRF)
- Path Traversal
- Unsichere Deserialisierung
- Auth-Bypass
Mehr dazu
- MITRE CVE-Programm, das öffentliche CVE-Register.
- FIRST CVSS-Spezifikation, das formelle Bewertungssystem.
- FIRST EPSS-Modell
- CISA Known Exploited Vulnerabilities Catalog
- BSI IT-Grundschutz zum Patch-Management