CVE Monitoring Patch Management
CVE Monitoring und Patch-Management automatisieren – Linux Server
Was sind CVEs (Common Vulnerabilities and Exposures)?
CVEs sind eindeutig identifizierte Sicherheitslücken in Software-Produkten. Jede CVE hat eine eindeutige Nummer im Format CVE-JAHR-NUMMER, z.B. CVE-2024-1234. Eine CVE beschreibt eine Schwachstelle, die von Hackern ausgenutzt werden kann, um Systeme zu kompromittieren. Die CVE-Datenbank ist öffentlich und zentral über die National Vulnerability Database (NVD) verfügbar.
Das CVSS-Bewertungssystem
Der CVSS-Score (Common Vulnerability Scoring System) bewertet die Schwere einer Sicherheitslücke auf einer Skala von 0–10:
| CVSS-Score | Schwere | Beschreibung |
|---|---|---|
| 0.0 | Keine | Keine bekannte Auswirkung |
| 0.1–3.9 | Gering | Minimale oder begrenzte Auswirkung |
| 4.0–6.9 | Mittel | Bedeutende Auswirkung auf Integrität oder Vertraulichkeit |
| 7.0–8.9 | Hoch | Schwerwiegende Auswirkung, einfache Ausbeutung |
| 9.0–10.0 | Kritisch | Umfassender Schaden, Systemkompromittierung |
Praktischer Tipp: Patche alle CVEs mit Score ≥ 7.0 sofort. Score 4.0–6.9 sollten innerhalb von 2 Wochen gepatcht werden. Score < 4.0 können geplant werden.
Tools für CVE-Monitoring unter Linux
unattended-upgrades (Ubuntu/Debian)
Das beste Tool für automatisierte Sicherheits-Updates unter Ubuntu:
Installation:
sudo apt update sudo apt install unattended-upgrades apt-listchanges
Konfigurieren für nur Security-Updates:
sudo nano /etc/apt/apt.conf.d/50unattended-upgrades
Wichtige Einstellungen:
// Nur Security-Updates automatisch installieren
Unattended-Upgrade::Package-Blacklist {
};
// Automatischer Reboot nach Updates (falls erforderlich)
Unattended-Upgrade::Automatic-Reboot "true";
Unattended-Upgrade::Automatic-Reboot-Time "03:00";
// E-Mail-Benachrichtigungen
Unattended-Upgrade::Mail "admin@beispiel.de";
Unattended-Upgrade::MailReport "on-change";
Aktivieren Sie unattended-upgrades:
sudo nano /etc/apt/apt.conf.d/20auto-upgrades
Stellen Sie sicher, dass folgende Zeilen aktiv sind:
APT::Periodic::Update-Package-Lists "1"; APT::Periodic::Download-Upgradeable-Packages "1"; APT::Periodic::AutocleanInterval "7"; APT::Periodic::Unattended-Upgrade "1";
sudo unattended-upgrade -d (Dry-Run Modus)apt-check – Schnelle Übersicht verfügbarer Updates
Zeigt, wie viele Updates verfügbar sind:
apt-check # Ausgabe: 23 packages can be upgraded. 5 are security updates.
Detaillierte Liste:
apt list --upgradable
Nur Security-Updates:
apt list --upgradable | grep -i security
debsecan – Debian Security Analyzer
Spezialisiert auf das Erkennen bekannter Sicherheitslücken in Debian-Systemen:
Installation:
sudo apt install debsecan
Scan ausführen:
debsecan --suite bookworm --report high
Ausgabe zeigt gefundene CVEs mit CVSS-Scores.
OVAL und OpenSCAP – Umfassendes Vulnerability Scanning
OVAL (Open Vulnerability Assessment Language) ist ein Standard für Sicherheits-Überprüfungen. OpenSCAP ist ein Tool, das OVAL-Definitionen ausführt:
Installation:
sudo apt install libopenscap8 openscap-daemon
Einen OVAL-Scan durchführen:
oscap oval eval --report report.html /usr/share/openscap/oval/ubuntu.xml
Dies generiert ein detailliertes HTML-Report mit gefundenen Lücken.
Praktischer CVE-Monitoring-Workflow
Schritt 1: Verfügbare Updates überprüfen
sudo apt update apt list --upgradable
Schritt 2: Sicherheitsrelevante Updates identifizieren
apt list --upgradable | grep -E "security|updates" # Oder verwenden Sie: sudo apt list --upgradable --all | grep -i security
Schritt 3: Spezifische CVEs recherchieren
Besuchen Sie die National Vulnerability Database:
https://nvd.nist.gov/vuln/search # oder https://ubuntu.com/security/usn/ # für Ubuntu-spezifische CVEs
Schritt 4: Kritische Updates sofort einspielen
sudo apt update sudo apt upgrade -y
Oder nur Security-Updates:
sudo apt upgrade -y -o Dpkg::Pre-Install-Pkgs="/usr/sbin/etckeeper pre-install 2>/dev/null || true"
Automatisierte Scanning-Skripte
CVE-Check-Cron-Job
Erstellen Sie ein Bash-Skript zum automatischen CVE-Check:
#!/bin/bash
# /usr/local/bin/daily-cve-check.sh
REPORT_FILE="/var/log/daily-cve-report.txt"
EMAIL="admin@beispiel.de"
{
echo "=== CVE-Scanning-Bericht vom $(date) ==="
echo ""
echo "Verfügbare Updates:"
apt list --upgradable
echo ""
echo "Bekannte Sicherheitslücken:"
debsecan --suite bookworm --report high --suite bookworm 2>/dev/null || echo "debsecan nicht verfügbar"
} > "$REPORT_FILE"
# Bei Sicherheitsupdates per E-Mail senden
if grep -q "security" "$REPORT_FILE"; then
mail -s "SICHERHEIT: CVEs erkannt!" "$EMAIL" < "$REPORT_FILE"
fi
machen Sie das Skript ausführbar:
chmod +x /usr/local/bin/daily-cve-check.sh
Planen Sie tägliche Ausführung in der root-Crontab:
sudo crontab -e # Fügen Sie hinzu: 0 6 * * * /usr/local/bin/daily-cve-check.sh
Security Mailing-Listen abonnieren
Melden Sie sich bei wichtigen Sicherheits-Mailing-Listen an:
Debian Security
https://lists.debian.org/debian-security-announce/
E-Mail: debian-security-announce-request@lists.debian.org mit Text "subscribe" im Body
Ubuntu Security
https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce
Lynis – Sicherheits-Audit-Tool
Lynis scannt Ihr System auf Sicherheitslücken und misconfigurations:
Installation:
sudo apt install lynis
Vollständiger Audit:
sudo lynis audit system
Dies erzeugt einen umfassenden Bericht mit Findings und Empfehlungen. Beispiel-Output:
[+] System hardening
- Installed security tools: auditd, aide
- SELinux status: disabled
- AppArmor status: enabled
CISA KEV Catalog
Die Cybersecurity and Infrastructure Security Agency (CISA) wartet eine Liste der "Known Exploited Vulnerabilities" – CVEs, die aktiv von Hackern ausgenutzt werden:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Diese sollten mit höchster Priorität gepatcht werden, unabhängig vom CVSS-Score.
Sie können die Daten automatisiert abrufen:
#!/bin/bash # Aktuelle KEV-Liste herunterladen curl -s https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json | \ jq '.vulnerabilities[] | select(.dateAdded > "'$(date -d '7 days ago' '+%Y-%m-%d')'") | .cveID' | \ sort -u > /var/log/kev-last-week.txt echo "$(wc -l < /var/log/kev-last-week.txt) neue KEV-Sicherheitslücken in dieser Woche!"
Monitoring-Workflow mit Häufigkeitsempfehlungen
| Aufgabe | Häufigkeit | Tool | Notizen |
|---|---|---|---|
| Sicherheits-Updates einspielen | Täglich (automatisch) | unattended-upgrades | Nur Security, kein Kernel reboot ohne Planung |
| CVE-Scanning | Täglich | debsecan, Cron-Job | Automatisch per E-Mail benachrichtigen |
| CISA KEV prüfen | Täglich | curl + jq Script | Kritisch: Sofort patchen wenn Ihre Systeme betroffen |
| Sicherheits-Audit | Wöchentlich | Lynis | Detaillierter als CVE-Scanning, prüft Konfigurationen |
| OVAL/OpenSCAP Scan | Monatlich | OpenSCAP | Umfassende Compliance- und Vulnerability-Prüfung |
| Kernel-Updates | Nach Planung | unattended-upgrades mit Reboot-Zeitplan | Benötigt normalerweise Reboot |
Praktische Checkliste für CVE-Management
| Überprüfung | Status |
|---|---|
| unattended-upgrades installiert und konfiguriert? | Ja ☐ Nein ☐ |
| E-Mail-Benachrichtigungen für kritische Updates aktiviert? | Ja ☐ Nein ☐ |
| Debian oder Ubuntu Security Mailing-Liste abonniert? | Ja ☐ Nein ☐ |
| debsecan installiert für tägliche CVE-Scans? | Ja ☐ Nein ☐ |
| Automatisierte Cron-Job für Sicherheits-Checks eingerichtet? | Ja ☐ Nein ☐ |
| CISA KEV Catalog regelmäßig überprüft? | Ja ☐ Nein ☐ |
| Lynis für tiefere Security Audits verfügbar? | Ja ☐ Nein ☐ |
Zusammenfassung
Effektives CVE-Management ist eine mehrschichtige Strategie:
- Automatisieren Sie Security-Updates mit unattended-upgrades
- Überwachen Sie CVEs täglich mit debsecan und CISA KEV
- Patchen Sie Lücken mit CVSS ≥ 7.0 innerhalb von 24 Stunden
- Führen Sie wöchentliche Lynis-Audits durch
- Abonnieren Sie Sicherheits-Mailing-Listen
- Dokumentieren Sie alle Updates und Patches