Sicherheitslücken bei Open SSL
Die jüngst entdeckten wunden Stellen bei Open SSL werfen grundsätzliche Fragen zur Sicherheit von Open Source Software Modulen auf.
Sicherheitslecks gibt es bei kommerzieller Software genauso wie bei Open Source Software. Dennoch sehen die Analysten von Gartner in der am 16. Mai vom SANS Institute entdeckten Verwundbarkeit des Secure Socket Layers (SSL) in einigen Varianten von Debian Linux ein grundsätzliches Problem der Open-Source Entwickler. Konkret geht es zunächst um Schwachstellen im Verschlüsselungs-Algorhythmus, der Eindringlingen den Zugriff auf verschlüsselte Daten ermöglicht. Debian hat bereits eine Empfehlung herausgeben, die Verschlüsselung zu patchen.
Was Gartner insbesondere kritisiert, ist aber nicht der konkrete Fall, sondern die mangelhafte Kommunikation der Open Source Entwickler untereinander. Dies zeige die Gefahren, Open-Source-Module in Unternehmens-Software zu verwenden. Anscheinend war Debian für das Problem verantwortlich und nicht die OpenSSL-Community. Debian hatte im Mai 2006 eigenmächtig und ohne mit der Open SSL Community Rücksprache zu halten, einen Fix für die Speicherverwaltung von Open SSL geschrieben, der das neue Problem erst verursachte. Debian hatte zwar im guten Glauben auch die Kommunikation mit der Open SSL Community gesucht, aber die Kommunikationswege (wohl nur über E-Mails, die dann ignoriert wurden) dazu waren inadäquat. Gartner warnt, dies sei kein Einzelfall, sondern nur ein Beispiel von vielen, wo die Zusammenarbeit zwischen Modul-Entwicklern und den Programmierern der großen Pakete versagt habe.
Füreine bessere Abstimmung empfiehlt Gartner den Communities, spezielle Kommunikationswege für das Entdecken von Sicherheitslücken einzurichten, etwa gesonderte Mail-Accounts. Generell sollten alle Unternehmen sich über die in ihren Lösungen eingesetzten Module Klarheit verschaffen und sicherstellen, dass diese immer auf dem aktuellen Patch-Level sind.
