Sicherheitslücken bei OpenSSL

Die jüngst entdeckten wunden Stellen bei Open-SSL werfen grundsätzliche Fragen zur Sicherheit von Open-Source-Software-Modulen auf

Sicherheitslecks gibt es bei kommerzieller Software genauso wie bei Open-Source-Software. Dennoch sehen die Analysten von Gartner Verwundbarkeit des Secure-Socket-Layers (SSL) in einigen Varianten von Debian-Linux ein grundsätzliches Problem der Open-Source-Entwickler. Die Lücken hat am 16. Mai vom SANS Institute entdeckt. Konkret geht es zunächst um Schwachstellen im Encrpytion-Algorithmus, der Eindringlingen den Zugriff auf verschlüsselte Daten ermöglicht. Debian hat bereits eine Empfehlung herausgeben, die Verschlüsselung zu patchen.

Was Gartner insbesondere kritisiert, ist aber nicht der konkrete Fall, sondern die mangelhafte Kommunikation der Open-Source-Entwickler untereinander. Dies zeige die Gefahren, Open-Source-Module in Unternehmens-Software zu verwenden. Anscheinend war Debian für das Problem verantwortlich und nicht die »OpenSSL«-Community.

Debian hatte im Mai 2006 eigenmächtig und ohne mit dieser Rücksprache zu halten, einen Fix für die Speicherverwaltung von Open-SSL geschrieben. Diese Korrektur hat das neue Problem dann verursacht. Debian hat zwar im guten Glauben auch die Kommunikation mit der Community gesucht. Die Kommunikationswege dazu waren inadäquat: wohl nur E-Mails, die dann ignoriert worden sind. Gartner warnt, dies sei kein Einzelfall, sondern nur ein Beispiel von vielen. Hier habe die Zusammenarbeit zwischen Modul-Entwicklern und den Programmierern der großen Pakete versagt.

Für eine bessere Abstimmung empfiehlt Gartner den Communities, spezielle Kommunikationswege für das Entdecken von Sicherheitslücken einzurichten wie gesonderte Mail-Accounts. Generell sollten alle Unternehmen sich über die in ihren Lösungen eingesetzten Module Klarheit verschaffen. Dann gilt es sicherzustellen, dass diese immer auf dem aktuellen Patch-Level sind.