Programmierung von Network Vulnerability TestsTopNikto-Ergebnisse verstehenOvaldi (OVAL Unterstützung in OpenVAS)

Ovaldi (OVAL Unterstützung in OpenVAS)

(von Michael Wiegand)

Die „Open Vulnerability and Assessment Language“ (OVAL) ist ein Standard, der unter anderem dazu genutzt werden kann, um sowohl bekannte Sicherheitslücken zu beschreiben als auch Tests, mit denen festgestellt werden kann, ob diese Sicherheitslücke auf einem Zielsystem existiert. Er nutzt XML-Dokumente, beispielsweise um potentiell unsichere Systeme und den aktuellen Zustand ihre Bestandteile zu beschreiben. Andere XML-Dokumente - die so genannten Definitionen - beschreiben einen bestimmten Zustand dieser Bestandteile, der als verwundbar angesehen wird. Im Gegensatz zu NASL beschreiben OVAL-Definitionen lediglich formal den Zustand eines verwundbaren System und sind nicht selbst Programme, die nach derartigen Verwundbarkeiten suchen.

Aus dem OVAL-Projekt heraus hat sich ovaldi entwickelt, eine Open Source Referenzimplementation eines Interpreters für OVAL Definitionen. Obwohl ovaldi zu Beginn nur lokale Systeme überprüfen konnte, ist es mittlerweile durch einen vom OpenVAS-Projekt erstellten Patch für ovaldi möglich, die OpenVAS gesammelten Informationen über entfernte System zu nutzen.

Unterstützung von ovaldi ist in OpenVAS ab der Version 2.0.0 verfügbar. Für die Unterstützung von ovaldi wird die SVN Revision 138 von ovaldi empfohlen. Auf der OpenVAS-Website erhalten die den für ovaldi notwendigen Patch und aktuelle Informationen über die ovaldi-Integration. Die aktuellste Version dieser Informationen ist unter

http://www.openvas.org/integrated-tools.html
verfügbar.

Mit ovaldi sind Sie in der Lage, auf mehrere Hundert zusätzliche Sicherheitstests zuzugreifen, die als OVAL-konforme Definitionen veröffentlicht wurden, wie etwa Sicherheitsmeldungen für die Red Hat Enterprise Linux Distribution. Bitte beachten Sie, dass die Integration von ovaldi in OpenVAS zur Zeit nur einen Teile der in OVAL möglichen Tests abdeckt. Die Unterstützung für OVAL Tests wird sich im Zuge der weiteren ovaldi-Integration erweitern.

Nach dem Sie die Unterstützung für OVAL Definitionen erfolgreich aktiviert haben, sind diese im OpenVAS-Client in der Familie „OVAL definitions“ verfügbar. Die meisten Definitionen werden einen der folgenden Werte zurückgeben: „true“, „false“ or „unknown“.

Diese Werte sind wie folgt definiert:

true
Die von ovaldi ausgewerteten Tests deuten mit hoher Wahrscheinlichkeit darauf hin, dass die in der Definition beschriebene Sicherheitslücke auf dem System vorhanden ist.
false
Die von ovaldi ausgewerteten Tests deutet darauf hin, dass es unwahrscheinlich ist, dass die in der Definition beschriebene Sicherheitslücke auf dem System vorhanden ist.
unknown
Die von ovaldi ausgewerteten Tests ergaben kein klares Ergebnis bzw. ovaldi war nicht in der Lage, alle für diese Überprüfung notwendigen Tests auszuführen.

Beachten Sie, dass eine große Anzahl von Tests den Wert „unknown“ zurückgeben wird, bis die Unterstützung für OVAL in OpenVAS weit genug fortgeschritten ist.

Die Ergebnisse der OVAL Definitionen wird Ihnen auf die gleiche Weise angezeigt wie die Ergebnisse der übrigen NVTs, so dass Sie sich bequem über die Ergebnisse informieren können, ohne OpenVAS-Client zu verlassen.

Weitere Informationen über das OVAL-Projekt und die OVAL-Sprache finden Sie unter

http://oval.mitre.org/
. Die Projektseite für ovaldi finden Sie unter

http://sourceforge.net/projects/ovaldi/
.


Programmierung von Network Vulnerability TestsTopNikto-Ergebnisse verstehenOvaldi (OVAL Unterstützung in OpenVAS)