Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich im Rahmen des Projekts CAOS 3.0 die Passwort-Manager Keepass und Vaultwarden vorgenommen und die auf ihre Sicherheitseigenschaften überprüft. Gefundene Schwachstellen wurden den Entwicklern gemeldet.
Anzeige
Ich muss an dieser Stelle die Information nachholen, da das Thema mir bereits vorige Woche durch nachfolgenden Tweet untergekommen ist.
Das Kürzel CAOS 3.0 des Projekts steht für "Codeanalyse von Open Source Software". Das Projekt läuft bereits seit 2021 und wird zusammen mit der mgm security partners GmbH durchgeführt. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatpersonen genutzt werden.
Hintergrund ist, dass Cyberangriffe sich in den meisten Fällen auf Fehler im Programmcode der betroffenen Anwendungen zurückführen lassen. Das Projekt CAOS unterstützt Prüfer dabei, häufige Schwachstellen und Risiken zu ermitteln und zu beseitigen.
Anzeige
Im Rahmen dieses Projekts wurden nun mit der mgm security partners GmbH der Quellcode der beiden Passwort-Manager Keepass und Vaultwarden auf dessen Sicherheitseigenschaften überprüft. Dabei gefundene Schwachstellen hat das BSI im Rahmen eines Responsible-Disclosure-Verfahrens den betroffenen Entwicklerinnen und Entwicklern mitgeteilt.
Dabei wurden bei Vaultwarden zwei Sicherheitslücken mit der Einstufung "hoch" identifiziert. Diese haben die Schwachstellen analysiert und bereits reagiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.
Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur "Codeanalyse von Open Source Software" wird fortgeführt.
Anzeige
Was immer das BSI da angestellt hat, um jene Lücken zu finden, können Programmierer nicht auf ihre eigene Software loslassen, BEVOR sie andere diese – gegen Geld/Prestige – einsetzen lassen?
Du darfst nicht vergessen, dass dies eine Open Source Software ist.
Da steht kein großes Entwicklerstudio dahinter, was sich vorgenommen hat Geld zu machen. Im Gegenteil. Das sind viele kleine unabhängige Entwickler, die zusammen das Programm Stück für Stück weiter entwickeln. Da ist kein Millionen Budget dahinter um große Penetrationstest durch zu führen.
Es ist endlich mal was gutes vom BSI, für solche Kollektive die Pentests zu übernehmen.
Und den Beitrag zu ergänzen:
Der Keepass-Entwickler hat die entdeckte Sicherheitslücke mit Version 2.57.1 am 08.10.2024 gefixt.
O-Ton:
Many thanks to the German Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik, BSI) and mgm security partners for sponsoring and performing a code analysis of KeePass 2.x (project CAOS 3.0 German, press report German).
No security vulnerabilities classified as medium, high or critical were found. However, two minor potential security vulnerabilities and some improvable code parts were identified. As a result, various improvements have been implemented; see above (version 2.57.1). For details about the code analysis and the improvements, see the release notes.
https://keepass.info/news/n240601_2.57.html#v1
Ein wertvolles Stück Weichware.
Lieber Born, ich finde dein Titel schlecht gewählt. Die Lücken in vaulwarden sind nicht ohne, wohingegen die keepass Lücke schon geschlossen ist.
Ich muss sagen als regelmäßiger Leser deines Blogs fällt mir durchaus allzu oft ein alarmischer Ton auf der oft auch daneben liegt und mehr Panik schürrt als notwendig. Da wude ich mir von uns Profis mehr Ruhe wünschen um die eindeutig vorhanden Schwachstellen aufzudecken und nicht im Skandal Ton untergehen zu lassen
Ich setze voraus, dass IT-Spezialisten – die ich im Blog primär adressiere – sich die Texte, sobald der Titel Relevanz signalisiert, durchlesen, ggf. die verlinkten Primärquellen aufrufen und sich dann eine eigene Einschätzung bilden!
Der Titel ist bereits jetzt extrem lang – wenn ich dann noch differenziere, in dem PW-Manager A ist es kritisch, im anderen kein Problem, bin ich bei einem Bandwurm-Titel. Nur mal die Überlegung von der anderen Seite des Schreibtischs, als ich das heute Nacht eingeklopft habe – ursprünglich hatte ich "BSI prüft Passwort-Manager" im Kopf – hatte aber das Gefühl, dass der Titel es nicht wirklich trifft.
Vorschlag:
"BSI prüft Passwort-Manager – Schwachstellen entdeckt"
Beste Grüße
Gegenmeinung: Ich finde es gut/richtig, im Titel die Produkte zu nennen – so weiss ich, ob ein Artikel (für mich) überhaupt relevant ist.
Mein Titelvorschlag:
"BSI prüft Passwort-Manager Keepass und Vaultwarden, Schwachstelle in Vaultwarden" – aber das ignoriert immer noch die 2 minors in Keepass.
Kann man so sehen. Ich habe die Ursprungsmeldung bei BSI und kurz später (am 15.10) bei Heise ( https://www.heise.de/news/Passwort-Manager-BSI-berichtet-ueber-kritische-Schwachstellen-in-Vaultwarden-9982427.html ) schon vor einer Woche gelesen, und beim Lesen Ihrer Überschrift erstmal kurz gedacht "Was, schon wieder?". Erst beim Lesen des Artikels begriff ich, dass das schon längst kalter Kaffee ist.
Sie sind ein Einmann-Blog, das ist mir schon klar, und für gewöhnlich haben Sie sehr neue Meldungen, oft schneller als andere, oder andere Blogs (auch Golem, Heise, …) nie und ich habe Verständnis dafür, dass Sie deswegen nicht immer alles am gleichen Tag der Bekanntwerdung im Blog verarbeiten können, aber solche Nachzügler finde ich dann überflüssig, kostet einen als Leser nur einen unbegründeten Schreckmoment und Zeit bis man realisiert hat, dass es für einen (wegen längst schon verteilter Updates) keine Relevanz (mehr) hat.
Hier wurde ja KeePass getestet, was ist denn mit dem Fork KeePass XC. Aktuell ist Version 2.7.9 vom Juni 2024, ist der überhaupt betroffen?
Weiss jemand mehr?
KeePass XC ist kein Fork, sondern eine komplett eigenstaendige Anwendung (komplett in C++ statt C# implementiert), die halt auch das Datenbank-File-Format von KeePass verarbeitet – von daher hat der Code-Review dafuer ueberhaupt keine Relevanz…
Leicht OT, trotzdem vielleicht hier am besten:
Ist bei Bitwarden tatsächlich eine relevante Abkehr von Opensource in Vorbereitung, oder empören sich da bei Github gerade Nutzer über einen völlig normalen Vorgang: https://github.com/bitwarden/clients/issues/11611
Ich habe das gestern bei Caschy in den Kommentaren gelesen und kann es nicht einordnen.
Das ist ein sehr guter Hinweis.
"Bitwarden 2024.10.0" ist jetzt tatsächlich kein vollständiger Open Source mehr. Die vorherige Version 2024.9.0 war noch Opensource.
Im Gegensatz zu vorher wird jetzt mit einem SDK kompiliert und das SDK lädt ein Archiv aus dem Internet nach (wasm-0.1.1.tgz), in welchem ein Binär-Blob drin steckt ("one_ini_bg.wasm", 84.807 Bytes, also kein Open Source), aus dem Funktionen exportiert werden (siehe one_ini.js , one_ini.d.ts), auf die dann Bitwarden zugreift.
In der vorherigen v2024.9.0 fehlen die SDK-Dateien bzw die Import-Befehle für SDK und WASM-Binär-Blob innerhalb der Dateien.
Es ist jetzt kein FOSS mehr, deshalb kompiliert F-Droid es nicht mehr.
So ein ins Programm gelinkter Binär-Blob kann gefährlich sein, weil man nicht weiß, was da drin steckt und weil Bitwarden den jederzeit austauschen kann.
Da hat man keine Kontrolle mehr, selbst dann, wenn man selber kompiliert.
Was sagt das BSI denn dazu?
Sowas ist doch eindeutig ein Sicherheitsrisiko.
###
Datei "package-lock.json" importiert das WASM-Archiv:
"node_modules//[at]one-ini//wasm":
"resolved": "htt*//registry[.]npmjs[.]org//[at]one-ini//wasm//-//wasm-0.1.1.tgz
[den Link habe ich hier verfremdet]
###
In der Datei "Source//apps//desktop//config//base.json" wird das SDK eingeschaltet:
"flags": "sdk": true
###
Datei "source\\apps\\desktop\\src\\app\\app.component.ts":
import { SdkService } from […]
###
Datei "web-sdk-client-factory.ts"
import * as sdk from "[at]bitwarden//sdk-internal";
* SDK client factory […] WASM
Hilfreich wäre der Hinweis gewesen, dass die BSI-Prüfung bereits im Februar 2024 stattfand. Die bemängelten Lücken sind in der aktuellen Version von Vaultwarden meines Wissens längst behoben.
Dem Titel nach zu urteilen, hätte ich vermutet, auch Infos zur Prüfung von KeePass im Artikel zu finden. Im Artikel selbst wird dann jedoch nur auf die beiden Sicherheitslücken bei Vaultwarden eingegangen.
Im Artikel ist der Tweet des BSI verlinkt – und über den BSI-Artikel dort lassen sich jeweils die Prüfberichte herunterladen.
Download Ergebnisse der Studie zur statischen Codeanalyse des Passwortmanagers KeePass (PDF 52 Seiten)
Download Ergebnisse der Studie zur statischen Codeanalyse des Passwortmanagers Vaultwarden (PDF, 88 Seiten)
In beiden PDF-Dokumenten ist das Datum angegeben, zu dem die Prüfung abgeschlossen wurde. Und es lässt sich für den Interessierten genau nachlesen, was geprüft und gefunden wurde.
Leser, die die Kurzfassung brauchen: Wenn ihr die aktuellen Versionen der Passwort-Manager installiert habt, sind die Schwachstellen beseitigt. Noch Wünsche?
Also ich finde es mittlerweile unerträglich, wie einige Akteure – nicht nur hier und immer öfter – ihre Silbertablett-Mentalität offen zur Schau stellen.
Und an Dich "Borni" ein herzliches Dankeschön. Ich kann mir sehr gut vorstellen, wie man sich fühlt, bei den teils debilen Kommentaren.
Wunsch: Den Satz "Wenn ihr die aktuellen Versionen der Passwort-Manager installiert habt, sind die Schwachstellen beseitigt." in Deinem Ursprungsbeitrag ergänzen.
+1