Open Source im professionellen Einsatz

Sicherheits-Audit findet Lücken in Curl

24.11.2016

Finanziert aus Mozillas Secure-Open-Source-Programm hat die Firma Cure 53 das klassische Open-Source-Tool Curl einem Audit unterzogen. Insgesamt sei der Code robust, doch es wurden auch Lücken gefunden.

255

Curl-Entwickler Daniel Stenberg hat nun in einem Blogpost die Ergebnisse veröffentlicht. Er hatte sich bei Mozilla für das Audit beworben, weil ihn nach einigen aufgetauchten Sicherheitsproblemen das Gefühl umtrieb, womöglich eine Lücke übersehen zu haben. Da Curl zudem sehr häufig im Verbund mit anderen Tools zum Einsatz komme, könnten Sicherheitslücken auch diese Nutzer von Curl gefährden.

Dabei sei es nicht so, dass das Projekt nichts für die Sicherheit tue, erklärt Stenberg. Man lasse regelmäßig Static Code Analyzer laufen, unterziehe es einem täglichen Check mit dem Clang-Analyzer und setze auch Coverity ein, das mitunter kleinere Probleme fände, die Entwickler sofort reparieren. Hinzu kommen tausende Tests und Unit Tests sowie die Suche nach Memory Leaks mit Valgrind.

Der Audit habe auf einer geschlossenen Mailingliste stattgefunden, am 23. September habe man die Testergebnisse erhalten, die nun in Form eines PDFs online stehen. Laut dem Report fanden die Forscher 23 potenzielle Probleme, neun davon gelten als Vulnerabilities. Insgesamt scheint die Codebasis aber in Ordnung zu sein: "Zugleich war der Gesamteindruck zu Sicherheit und Robustheit der Curl-Bibliothek positiv", schreiben die Tester.

Eine der potenziellen Sicherheitslücken habe man schließlich als gewöhnlichen Bug identifiziert, zwei weitere Verwundbarkeiten ließen sich auf eine gemeinsame Quelle zurückführen. Die Advisories und die zugehörigen Fixes listet ein Google-Dokument auf. In der Zwischenzeit hatten andere Entwickler vier weitere Schwächen entdeckt, so dass die Entwickler für Version 7.51.0 insgesamt 11 Probleme behoben haben. Ein Upgrade empfiehlt sich also.

Ähnliche Artikel

  • 17 Jahre Curl

    Im Frühjahr 1998 veröffentlichte Daniel Stenberg die Kommandozeilensoftware Curl, den "Client for URLs". Heute feiert das Projekt seinen 17. Geburtstag und Lead Developer Stenberg plaudert aus dem Nähkästchen.

  • Veracrypt-Audit findet kritische Sicherheitslücken

    Das Veracrypt-Audit-Projekt machte zuletzt mit der Vermutung Schlagzeilen, abgehört zu werden. Nun ist das Audit abgeschlossen, in seinem Verlauf wurden einige kritische Sicherheitslücken entdeckt, die teilweise bereits gefixt wurden.

  • Curl-Entwickler Stenberg darf nicht in die USA fliegen

    Eigentlich wollte der bekannte schwedische Curl-Entwickler Daniel Stenberg gestern zu einer Mozilla-Konferenz nach San Francisco aufbrechen, doch das ging diesmal gründlich schief. Ob es am Visum oder den involvierten Fluggesellschaften liegt, ist noch unklar.

  • Durchleuchtet: Neues vom Truecrypt-Audit

    Matthew Green, Sicherheitsforscher an der Johns Hopkins University in Baltimore hat die Leser seines Blogs über Neuigkeiten zum Truecrypt-Audit informiert.

  • Audit für Open VPN 2.4

    Der Londoner VPN-Anbieter Private Internet Access finanziert ein Audit für Open VPN 2.4, das der bekannte Kryptologe Matthew Green übernehmen wird.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.