{"id":305401,"date":"2024-10-21T00:58:29","date_gmt":"2024-10-20T22:58:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305401"},"modified":"2024-10-21T01:19:25","modified_gmt":"2024-10-20T23:19:25","slug":"bsi-prueft-findet-schwachstelle-in-passwort-manager-keepass-und-vaultwarden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/21\/bsi-prueft-findet-schwachstelle-in-passwort-manager-keepass-und-vaultwarden\/","title":{"rendered":"BSI pr\u00fcft\/findet Schwachstelle in Passwort-Manager Keepass und Vaultwarden"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich im Rahmen des Projekts CAOS 3.0 die Passwort-Manager Keepass und Vaultwarden vorgenommen und die auf ihre Sicherheitseigenschaften \u00fcberpr\u00fcft. Gefundene Schwachstellen wurden den Entwicklern gemeldet.<\/p>\n<p><!--more--><\/p>\n<p>Ich muss an dieser Stelle die Information nachholen, da das Thema mir bereits vorige Woche durch nachfolgenden <a href=\"https:\/\/x.com\/BSI_Bund\/status\/1846205670812475597\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> untergekommen ist.<\/p>\n<p><a href=\"https:\/\/x.com\/BSI_Bund\/status\/1846205670812475597\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/10\/Q3UvjoQ.png\" alt=\"BSI pr\u00fcft Passwort-Manager\" width=\"586\" height=\"344\" \/><\/a><\/p>\n<p>Das K\u00fcrzel CAOS 3.0 des Projekts steht f\u00fcr \"Codeanalyse von\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">Open Source<\/span> Software\". Das Projekt l\u00e4uft bereits seit 2021 und wird zusammen mit der mgm security partners GmbH durchgef\u00fchrt. Der Fokus liegt auf Anwendungen, die vermehrt von Beh\u00f6rden oder Privatpersonen genutzt werden.<\/p>\n<p>Hintergrund ist, dass\u00a0Cyberangriffe sich in den meisten F\u00e4llen auf Fehler im Programmcode der betroffenen Anwendungen zur\u00fcckf\u00fchren lassen. Das Projekt CAOS unterst\u00fctzt Pr\u00fcfer dabei, h\u00e4ufige Schwachstellen und Risiken zu ermitteln und zu beseitigen.<\/p>\n<p>Im Rahmen dieses Projekts wurden nun mit der mgm security partners GmbH der Quellcode der beiden Passwort-Manager Keepass und Vaultwarden auf dessen Sicherheitseigenschaften \u00fcberpr\u00fcft. Dabei gefundene Schwachstellen hat das BSI im Rahmen eines Responsible-Disclosure-Verfahrens den betroffenen Entwicklerinnen und Entwicklern mitgeteilt.<\/p>\n<p>Dabei wurden bei Vaultwarden zwei Sicherheitsl\u00fccken mit der Einstufung \"hoch\" identifiziert. Diese haben die Schwachstellen analysiert und bereits reagiert. Bei den nun <a href=\"https:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Presse\/Alle-Meldungen-News\/Meldungen\/Codeanalyse-KeePass-Vaultwarden_241014.html\" target=\"_blank\" rel=\"noopener\">ver\u00f6ffentlichten Ergebnissen<\/a> handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.<\/p>\n<p>Um die Sicherheit von\u00a0<span lang=\"en-GB\" xml:lang=\"en-GB\">Open Source Software<\/span> in Zukunft zu erh\u00f6hen, sind weitere Codeanalysen geplant. Das Projekt zur \"Codeanalyse von <span lang=\"en-GB\" xml:lang=\"en-GB\">Open Source<\/span>\u00a0Software\" wird fortgef\u00fchrt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) hat sich im Rahmen des Projekts CAOS 3.0 die Passwort-Manager Keepass und Vaultwarden vorgenommen und die auf ihre Sicherheitseigenschaften \u00fcberpr\u00fcft. Gefundene Schwachstellen wurden den Entwicklern gemeldet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-305401","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305401","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305401"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305401\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305401"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305401"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305401"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}