BSI prüft/findet Schwachstelle in Passwort-Manager Keepass und Vaultwarden

Sicherheit (Pexels, allgemeine Nutzung)Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich im Rahmen des Projekts CAOS 3.0 die Passwort-Manager Keepass und Vaultwarden vorgenommen und die auf ihre Sicherheitseigenschaften überprüft. Gefundene Schwachstellen wurden den Entwicklern gemeldet.


Anzeige

Ich muss an dieser Stelle die Information nachholen, da das Thema mir bereits vorige Woche durch nachfolgenden Tweet untergekommen ist.

BSI prüft Passwort-Manager

Das Kürzel CAOS 3.0 des Projekts steht für "Codeanalyse von Open Source Software". Das Projekt läuft bereits seit 2021 und wird zusammen mit der mgm security partners GmbH durchgeführt. Der Fokus liegt auf Anwendungen, die vermehrt von Behörden oder Privatpersonen genutzt werden.

Hintergrund ist, dass Cyberangriffe sich in den meisten Fällen auf Fehler im Programmcode der betroffenen Anwendungen zurückführen lassen. Das Projekt CAOS unterstützt Prüfer dabei, häufige Schwachstellen und Risiken zu ermitteln und zu beseitigen.


Anzeige

Im Rahmen dieses Projekts wurden nun mit der mgm security partners GmbH der Quellcode der beiden Passwort-Manager Keepass und Vaultwarden auf dessen Sicherheitseigenschaften überprüft. Dabei gefundene Schwachstellen hat das BSI im Rahmen eines Responsible-Disclosure-Verfahrens den betroffenen Entwicklerinnen und Entwicklern mitgeteilt.

Dabei wurden bei Vaultwarden zwei Sicherheitslücken mit der Einstufung "hoch" identifiziert. Diese haben die Schwachstellen analysiert und bereits reagiert. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, sind weitere Codeanalysen geplant. Das Projekt zur "Codeanalyse von Open Source Software" wird fortgeführt.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu BSI prüft/findet Schwachstelle in Passwort-Manager Keepass und Vaultwarden

  1. Thomas Schulz sagt:

    Was immer das BSI da angestellt hat, um jene Lücken zu finden, können Programmierer nicht auf ihre eigene Software loslassen, BEVOR sie andere diese – gegen Geld/Prestige – einsetzen lassen?

    • Padde sagt:

      Du darfst nicht vergessen, dass dies eine Open Source Software ist.
      Da steht kein großes Entwicklerstudio dahinter, was sich vorgenommen hat Geld zu machen. Im Gegenteil. Das sind viele kleine unabhängige Entwickler, die zusammen das Programm Stück für Stück weiter entwickeln. Da ist kein Millionen Budget dahinter um große Penetrationstest durch zu führen.
      Es ist endlich mal was gutes vom BSI, für solche Kollektive die Pentests zu übernehmen.

  2. Dat Bundesferkel sagt:

    Und den Beitrag zu ergänzen:

    Der Keepass-Entwickler hat die entdeckte Sicherheitslücke mit Version 2.57.1 am 08.10.2024 gefixt.

    O-Ton:
    Many thanks to the German Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik, BSI) and mgm security partners for sponsoring and performing a code analysis of KeePass 2.x (project CAOS 3.0 German, press report German).

    No security vulnerabilities classified as medium, high or critical were found. However, two minor potential security vulnerabilities and some improvable code parts were identified. As a result, various improvements have been implemented; see above (version 2.57.1). For details about the code analysis and the improvements, see the release notes.

    https://keepass.info/news/n240601_2.57.html#v1

    Ein wertvolles Stück Weichware.

  3. Anonymous sagt:

    Lieber Born, ich finde dein Titel schlecht gewählt. Die Lücken in vaulwarden sind nicht ohne, wohingegen die keepass Lücke schon geschlossen ist.

    Ich muss sagen als regelmäßiger Leser deines Blogs fällt mir durchaus allzu oft ein alarmischer Ton auf der oft auch daneben liegt und mehr Panik schürrt als notwendig. Da wude ich mir von uns Profis mehr Ruhe wünschen um die eindeutig vorhanden Schwachstellen aufzudecken und nicht im Skandal Ton untergehen zu lassen

    • Günter Born sagt:

      Ich setze voraus, dass IT-Spezialisten – die ich im Blog primär adressiere – sich die Texte, sobald der Titel Relevanz signalisiert, durchlesen, ggf. die verlinkten Primärquellen aufrufen und sich dann eine eigene Einschätzung bilden!

      Der Titel ist bereits jetzt extrem lang – wenn ich dann noch differenziere, in dem PW-Manager A ist es kritisch, im anderen kein Problem, bin ich bei einem Bandwurm-Titel. Nur mal die Überlegung von der anderen Seite des Schreibtischs, als ich das heute Nacht eingeklopft habe – ursprünglich hatte ich "BSI prüft Passwort-Manager" im Kopf – hatte aber das Gefühl, dass der Titel es nicht wirklich trifft.

      • Stefan sagt:

        Vorschlag:

        "BSI prüft Passwort-Manager – Schwachstellen entdeckt"

        Beste Grüße

        • Bernd B. sagt:

          Gegenmeinung: Ich finde es gut/richtig, im Titel die Produkte zu nennen – so weiss ich, ob ein Artikel (für mich) überhaupt relevant ist.
          Mein Titelvorschlag:
          "BSI prüft Passwort-Manager Keepass und Vaultwarden, Schwachstelle in Vaultwarden" – aber das ignoriert immer noch die 2 minors in Keepass.

      • Froschkönig sagt:

        Kann man so sehen. Ich habe die Ursprungsmeldung bei BSI und kurz später (am 15.10) bei Heise ( https://www.heise.de/news/Passwort-Manager-BSI-berichtet-ueber-kritische-Schwachstellen-in-Vaultwarden-9982427.html ) schon vor einer Woche gelesen, und beim Lesen Ihrer Überschrift erstmal kurz gedacht "Was, schon wieder?". Erst beim Lesen des Artikels begriff ich, dass das schon längst kalter Kaffee ist.

        Sie sind ein Einmann-Blog, das ist mir schon klar, und für gewöhnlich haben Sie sehr neue Meldungen, oft schneller als andere, oder andere Blogs (auch Golem, Heise, …) nie und ich habe Verständnis dafür, dass Sie deswegen nicht immer alles am gleichen Tag der Bekanntwerdung im Blog verarbeiten können, aber solche Nachzügler finde ich dann überflüssig, kostet einen als Leser nur einen unbegründeten Schreckmoment und Zeit bis man realisiert hat, dass es für einen (wegen längst schon verteilter Updates) keine Relevanz (mehr) hat.

    • Holger sagt:

      Ich wünsche mir mehr Rechtschreibung und Höflichkeit!

  4. Stephan sagt:

    Hier wurde ja KeePass getestet, was ist denn mit dem Fork KeePass XC. Aktuell ist Version 2.7.9 vom Juni 2024, ist der überhaupt betroffen?
    Weiss jemand mehr?

    • Leak sagt:

      KeePass XC ist kein Fork, sondern eine komplett eigenstaendige Anwendung (komplett in C++ statt C# implementiert), die halt auch das Datenbank-File-Format von KeePass verarbeitet – von daher hat der Code-Review dafuer ueberhaupt keine Relevanz…

  5. Karel sagt:

    Leicht OT, trotzdem vielleicht hier am besten:
    Ist bei Bitwarden tatsächlich eine relevante Abkehr von Opensource in Vorbereitung, oder empören sich da bei Github gerade Nutzer über einen völlig normalen Vorgang: https://github.com/bitwarden/clients/issues/11611
    Ich habe das gestern bei Caschy in den Kommentaren gelesen und kann es nicht einordnen.

    • Bolko sagt:

      Das ist ein sehr guter Hinweis.

      "Bitwarden 2024.10.0" ist jetzt tatsächlich kein vollständiger Open Source mehr. Die vorherige Version 2024.9.0 war noch Opensource.

      Im Gegensatz zu vorher wird jetzt mit einem SDK kompiliert und das SDK lädt ein Archiv aus dem Internet nach (wasm-0.1.1.tgz), in welchem ein Binär-Blob drin steckt ("one_ini_bg.wasm", 84.807 Bytes, also kein Open Source), aus dem Funktionen exportiert werden (siehe one_ini.js , one_ini.d.ts), auf die dann Bitwarden zugreift.

      In der vorherigen v2024.9.0 fehlen die SDK-Dateien bzw die Import-Befehle für SDK und WASM-Binär-Blob innerhalb der Dateien.

      Es ist jetzt kein FOSS mehr, deshalb kompiliert F-Droid es nicht mehr.

      So ein ins Programm gelinkter Binär-Blob kann gefährlich sein, weil man nicht weiß, was da drin steckt und weil Bitwarden den jederzeit austauschen kann.
      Da hat man keine Kontrolle mehr, selbst dann, wenn man selber kompiliert.

      Was sagt das BSI denn dazu?
      Sowas ist doch eindeutig ein Sicherheitsrisiko.

      ###

      Datei "package-lock.json" importiert das WASM-Archiv:

      "node_modules//[at]one-ini//wasm":
      "resolved": "htt*//registry[.]npmjs[.]org//[at]one-ini//wasm//-//wasm-0.1.1.tgz

      [den Link habe ich hier verfremdet]

      ###

      In der Datei "Source//apps//desktop//config//base.json" wird das SDK eingeschaltet:

      "flags": "sdk": true

      ###

      Datei "source\\apps\\desktop\\src\\app\\app.component.ts":

      import { SdkService } from […]

      ###

      Datei "web-sdk-client-factory.ts"

      import * as sdk from "[at]bitwarden//sdk-internal";
      * SDK client factory […] WASM

  6. TG sagt:

    Hilfreich wäre der Hinweis gewesen, dass die BSI-Prüfung bereits im Februar 2024 stattfand. Die bemängelten Lücken sind in der aktuellen Version von Vaultwarden meines Wissens längst behoben.

  7. Anonymous sagt:

    Dem Titel nach zu urteilen, hätte ich vermutet, auch Infos zur Prüfung von KeePass im Artikel zu finden. Im Artikel selbst wird dann jedoch nur auf die beiden Sicherheitslücken bei Vaultwarden eingegangen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.