In seiner Reihe “Codeanalyse von Open Source Software“ (kurz CAOS) hat das BSI Software auf ihre Sicherheit untersucht. Bei der Twitter bzw. X-Alternative Mastodon hat sie zwei hoch gefährliche Schwachstellen entdeckt.
Das BSI hat bereit 2021 das Projekt „Codeanalyse von Open Source Software“ (kurz CAOS) ins Leben gerufen. Ziel des Projekts ist es, verschiedene Open Source Software einer Codeanalyse zu unterziehen. Dabei wird der Fokus auf Anwendersoftware gelegt, die vermehrt durch Behörden oder die Gesellschaft genutzt wird. Die Codeanalyse soll das Vertrauen in die Sicherheitseigenschaften des Produkts stärken und etwaige Zweifel an der Korrektheit der Funktionsbeschreibungen ausräumen.
Schwachstellen in Mastodon
In der Vergangenheit ist offenbar geworden, wie wichtig in der heutigen Zeit Kurznachrichtendienste sind. Viele Informationen werden über diese Schnittstelle zuerst verbreitet und erreichen unter Umständen eine sehr schnelle und hohe Verbreitung. Im Rahmen des Projektes CAOS 2.0 wurde daher Mastodon untersucht. Für das untersuchte System wurden Schwachstellen unterschiedlicher Kritikalität auf der Webseite https://cve.mitre.org veröffentlicht. Außerdem wurden während der Codeanalyse in Absprache mit den Entwicklern kritische CVEs bearbeitet und publiziert.
Die Anwendung weist zwei als hoch eingestufte Sicherheitslücken auf, mit denen ein Angreifer gezielt Benutzer und die Anwendung kompromittieren kann. In beiden Fällen geht es um Cross-Site-Scripting-Schwachstellen und die Möglichkeit für einen Angreifer, aus der Ferne über eine manipulierte Nutzlast vertrauliche Informationen zu erhalten. Es wurden dafür bereits zwei CVEs (Common Vulnerability Enumeration) registriert (CVE-2023-46950 und CVE-2023-46951) sowie nach den Regeln der „Responsible Disclosure“ Kontakt mit dem Entwicklungsteam aufgenommen. Diese werden dann bzw. haben schon die passenden Updates bereitgestellt.
Direkt zum PDF bei BSI.bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.