Im Rahmen des Projektes zur “Codeanalyse von Open Source Software” (CAOS 2.0) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Kommunikationssoftware Matrix und die Social Media Micro Blogging Software Mastodon auf ihre Sicherheitseigenschaften untersucht.
Das BSI überprüfte laut der Mitteilung mit der mgm security partners GmbH den Quellcode von Matrix und Mastodon auf mögliche Mängel. Kritische Schwachstellen hat das BSI den betroffenen Entwicklern sofort mitgeteilt. Diese hätten die Schwachstellen analysiert und bereits reagiert. Weitere Mängel wurden im Rahmen eines Responsible-Disclosure-Verfahrens adressiert. Das Verfahren gestattet Entwicklern eine angemessene Frist zur Behebung von Sicherheitslücken vor deren Veröffentlichung. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards, teilt das BSI mit.
Bei Mastodon hat das BSI die Version 4.1.6 untersuchen lassen. Die Analysen fanden von 1. September 2023 bis 17. November 2023 statt. Zwei als hoch eingestufte Sicherheitslücken seien gefunden worden, mit denen ein Angreifer gezielt Benutzer und die Anwendung kompromittieren könnte, heißt es im Bericht (CVE-2023-46950 und CVE-2023-46951). Der Kontakt mit dem Entwicklungsteam von Mastodon sei sehr positiv und freundlich verlaufen, heißt es weiter.
Bei Matrix wurden Matrix Synapse in der Version 1.90.0 und Matrix Element in der Version 1.11.39 untersucht. Laut dem Bericht wurden dort einige als niedrig eingestufte Sicherheitslücken gefunden.
