Finanziert aus Mozillas Secure-Open-Source-Programm hat die Firma Cure 53 das klassische Open-Source-Tool Curl einem Audit unterzogen. Insgesamt sei der Code robust, doch es wurden auch Lücken gefunden.

Curl-Entwickler Daniel Stenberg hat nun in einem Blogpost die Ergebnisse veröffentlicht. Er hatte sich bei Mozilla für das Audit beworben, weil ihn nach einigen aufgetauchten Sicherheitsproblemen das Gefühl umtrieb, womöglich eine Lücke übersehen zu haben. Da Curl zudem sehr häufig im Verbund mit anderen Tools zum Einsatz komme, könnten Sicherheitslücken auch diese Nutzer von Curl gefährden.

Dabei sei es nicht so, dass das Projekt nichts für die Sicherheit tue, erklärt Stenberg. Man lasse regelmäßig Static Code Analyzer laufen, unterziehe es einem täglichen Check mit dem Clang-Analyzer und setze auch Coverity ein, das mitunter kleinere Probleme fände, die Entwickler sofort reparieren. Hinzu kommen tausende Tests und Unit Tests sowie die Suche nach Memory Leaks mit Valgrind.

Der Audit habe auf einer geschlossenen Mailingliste stattgefunden, am 23. September habe man die Testergebnisse erhalten, die nun in Form eines PDFs online stehen. Laut dem Report fanden die Forscher 23 potenzielle Probleme, neun davon gelten als Vulnerabilities. Insgesamt scheint die Codebasis aber in Ordnung zu sein: “Zugleich war der Gesamteindruck zu Sicherheit und Robustheit der Curl-Bibliothek positiv”, schreiben die Tester.

Eine der potenziellen Sicherheitslücken habe man schließlich als gewöhnlichen Bug identifiziert, zwei weitere Verwundbarkeiten ließen sich auf eine gemeinsame Quelle zurückführen. Die Advisories und die zugehörigen Fixes listet ein Google-Dokument auf. In der Zwischenzeit hatten andere Entwickler vier weitere Schwächen entdeckt, so dass die Entwickler für Version 7.51.0 insgesamt 11 Probleme behoben haben. Ein Upgrade empfiehlt sich also.