Skip to main content

Open-Source-Software-Projekte müssen die Handhabung von Sicherheitslücken verbessern, sagen die Forscher

Viele Open-Source-Softwareentwickler müssen die Handhabung von Schwachstellenberichten verbessern, wie Forscher des Sicherheitsunternehmens Rapid7 kürzlich herausgefunden haben und berichtete Sicherheitslücken in sieben populären Open-Source-Software-Anwendungen.

Es gibt eine Überlegung bei einigen Anwendern, dass Open-Source-Software sicherer ist als kommerzielle Software, weil mehr Menschen den Quellcode sehen und Feedback geben oder weil er offen ist -source-Projekte können Probleme schneller beheben.

Rapid7 hat mit Brandon Perry zusammengearbeitet, einem Anwendungssicherheitsingenieur, der regelmäßig Beiträge für die Metasploit Penetration Testing Framework, um diese Theorie zu testen, sagte Christian Kirsch, Product Marketing Manager bei Rapid7, in einem Interview Mittwoch bei der RSA Europe Sicherheitskonferenz in Amsterdam.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Anfang August wählte Perry sieben der beliebtesten Open-Source-Webanwendungen aus, die auf SourceForge.net gehostet wurden, und suchte nach Sicherheitslücken in diesen. Innerhalb von zwei Wochen habe er Sicherheitsmängel in allen gefunden, sagte Kirsch.

Der Forscher fand ein Problem, das es entfernten Angreifern ermöglichen würde, Befehle auf dem zugrundeliegenden Betriebssystem in sechs Anwendungen auszuführen:

  • Moodle, ein Web- basiertes Lern- / Kursmanagementsystem, das über 4,7 Millionen Mal von SourceForge heruntergeladen wurde;
  • vTiger, ein webbasiertes Kundenbeziehungsmanagementsystem mit über 3,6 Millionen Downloads;
  • Zabbiz, ein Softwareprodukt zur Überwachung von Netzwerk und Internet Anwendungsleistung in Unternehmen mit fast 3 Millionen Downloads;
  • ISPConfig, ein Web-Hosting-Control-Panel für Linux-Server mit 1,5 Millionen Downloads;
  • OpenMediaVault, eine auf Debian Linux basierende Betriebssystem-Distribution für Netzwerk-Storage-Server mit über 700.000 Downloads; und
  • NAS4Free, ein NAS-System auf Netzwerkbasis, das auf FreeBSD mit mehr als 600.000 Downloads basiert.

Perry fand auch eine XXE (XML eXternal Entity) Schwachstelle in Openbravo ERP, einer Open-Source Enterprise Resource Planning (ERP) Produkt mit 2,1 Millionen Downloads auf SourceForge, das es einem Angreifer ermöglichen würde, beliebige Dateien aus dem Dateisystem mit den Berechtigungen des Anwenders zu lesen.

Der Forscher und Rapid7 alarmierten daraufhin die Entwickler und arbeiteten mit dem Computer Emergency Response Team zusammen Koordinierungszentrum (CERT / CC), um die Offenlegungen zu koordinieren. Sie haben auch Metaploit-Exploit-Module für die Sicherheitslücken entwickelt und am Mittwoch veröffentlicht.

Patches, anyone?

Nur drei der sieben Software-Projekte, Openbravo ERP, vTiger CRM und ISPConfig, haben die gemeldeten Probleme gepatcht. Drei Projekte sagten, dass sie das Problem der authentifizierten Remote-Befehlsausführung nicht beheben würden, weil sie glauben, dass es geplant sei, und ein Projekt habe seine Pläne nicht kommuniziert, sagte Kirsch.

Das Ausführungsproblem nach der Authentifizierung ist keine Schwachstelle , aber es ist eine Exposition mit Sicherheitsimplikationen, sagte Kirsch. Die Entwickler gingen davon aus, dass die Personen, die ihre Anwendungen installieren, auch die gesamten Server verwalten, was nicht immer zutrifft, insbesondere in Shared Hosting-Umgebungen oder in Organisationen, in denen separate Teams die Infrastruktur und Anwendungen überwachen.

Dieses Problem kann auch sein Wird verwendet, um strenge Authentifizierungsanforderungen zu umgehen, die auf einigen Betriebssystemen konfiguriert sind, um zu verhindern, dass Benutzer leicht Root-Zugriff erhalten. Wenn die Anwendung, die auf einem solchen System läuft, nur einen Benutzernamen und ein Passwort für die Authentifizierung benötigt und dann eine authentifizierte Befehlsausführung auf dem Betriebssystem erlaubt, werden die strengeren Kontrollen umgangen, sagte Kirsch.

Bei der Offenlegung der identifizierten Sicherheitsaspekte für die relevanten Softwareprojekte stellte Rapid7 fest, dass viele von ihnen keine gängigen Branchenpraktiken befolgten, wenn es darum ging, Schwachstellenberichte zu bearbeiten und mit Sicherheitsforschern zu arbeiten.

"Über diese sieben Projekte hinweg "Beethley, der technische Leiter von Metasploit, sagte am Mittwoch in einem Blogbeitrag."

"Ich werde nicht erwähnen, welcher Projektverantwortliche nach einem passwortgeschützten Zip gefragt hat Datei der Offenlegung, während eine andere das Problem auf einem öffentlichen Bug-Tracker ablegte, der es umgehend zurück ins Klartext schickte, aber das Niveau der Bereitschaft, mit dem ich zusammentraf, war ziemlich beunruhigend ", sagte er.

Während einige der großen Open-Source Software-Entwickler wie die Apache Software Foundation oder Mozilla haben gute Prozesse für den Umgang mit Schwachstellenberichten, es gibt viel Platz für Bildung für kleinere Open-Source-PR "

" Rapid7 veröffentlichte eine Liste von Empfehlungen, die die Erstellung einer dedizierten Sicherheits-E-Mail-Adresse - normalerweise security @ domain - beinhalten, um Schwachstellenberichte zu erhalten, einen PGP-Schlüssel zu erstellen und zu veröffentlichen Es ist überall dort, wo es leicht zu finden ist, verschlüsselt vertrauliche Kommunikation, die Sicherheitslücken schließt, bestätigt den Erhalt von Schwachstellenberichten, informiert Anwendungsbenutzer über die gepatchten Sicherheitslücken und mehr.