Open-Source-Projekte in Gefahr

Sicherheitsexperten warnen vor 15 Jahre alter Sicherheitslücke

Sicherheitsexperten warnen vor einer 15 Jahre alten Sicherheitslücke, die eine potenzielle Gefahr für zahlreiche Open-Source-Projekte darstellt.
Von 
CSO | 23. September 2022 15:55 Uhr
Security-Experten warnen vor einer alten Sicherheitslücke, die mehr als 350.000 Open-Source-Repositories gefährdet.
Security-Experten warnen vor einer alten Sicherheitslücke, die mehr als 350.000 Open-Source-Repositories gefährdet.
Foto: Nerza - shutterstock.com

Security-Forscher des Sicherheitsanbieters Trellix sind kürzlich auf eine Schwachstelle gestoßen, die seit 15 Jahren nicht gepatcht wurde. Zunächst gingen die Forscher davon aus, dass es sich um eine neue Zero-Day-Lücke handelt. Doch dann stellten sie fest, dass die vermeintlich neue Sicherheitslücke bereits einen CVE-Eintrag (Common Vulnerabilities and Exposures) hat, der auf das Jahr 2007 zurückgeht.

Mehr als 350.000 Open-Source-Projekte gefährdet

Die Schwachstelle befindet sich im Python-Modul für TARar-Dateien(Tape Archive). Dabei handelt es sich um ein Standardtmodul, das weit verbreitet ist. Es kommt in zahlreichen Frameworks von Netflix, AWS, Intel, Facebook und Google sowie in Anwendungen für Machine Learning, Automatisierung und Docker-Containerisierung zum Einsatz. Schätzungen zufolge gefährdet die Schwachstelle damit mehr als 350.000 Open-Source-Repositories, die dieses Modul in ihren Projekten verwenden.

Nach den Angaben der Forscher könnte die Sicherheitslücke von Angreifern missbraucht werden, um eine schädliche Datei hochzuladen und beliebige Codes auszuführen oder die Kontrolle über ein Zielgerät zu erlangen. "Bei der Schwachstelle handelt es sich um einen Path-Traversal-Angriff in den Extract- und Extractall -Funktionen im Tarfile-Modul", heißt es im Forschungsbericht. Diese ermögliche es einem Angreifer, beliebige Dateien zu überschreiben, indem er die Sequenz ".." zu Dateinamen in einem TAR-Archiv hinzufügt.

"Wenn wir von Bedrohungen der Software-Lieferkette sprechen, meinen wir meist Cyber-Angriffe wie SolarWinds.", warnt Christiaan Beek, Head of Adversarial & Vulnerability Research bei Trellix. "Dabei sollte uns längst klar sein, dass ein schwaches Code-Fundament ernste Auswirkungen auf die Sicherheit der darauf aufbauenden Programme haben kann."

Lesetipp: Synopsys-Analyse - Veraltete OSS gefährdet die Sicherheit in vielen Unternehmen

Mehr Ressourcen für Open-Source-Projekte erforderlich

In diesem Zusammenhang verweist Satnam Narang, Senior Staff Research Engineer bei Tenable, darauf, dass mehr Ressourcen für Open-Source-Projekte bereitgestellt werden müssten: "Obwohl die Entdeckung von Log4Shell in der Log4j-Bibliothek fast ein Jahr zurückliegt, finden Forscher weiterhin Schwachstellen in der gesamten Lieferkette. Dies unterstreicht, dass weiterhin mehr Ressourcen benötigt werden, um Schwachstellen in einigen der gängigsten Bibliotheken und Software, die heute von Unternehmen verwendet werden, zu identifizieren und zu beheben."

Narang spricht sich dafür aus, dass Initiativen wie Supply Chain Levels for Software Artifacts (SLSA) und Software Bill of Materials (SBOM) sowie Projekte wie Alpha-Omega im Rahmen der Open Source Security Foundation die Sicherheitslücken innerhalb der Open-Source-Community schließen. "Dies ist ein guter Ansatz, da viele der Entwickler oft unbezahlte Mitarbeiter sind, die ihre Zeit freiwillig zur Verfügung stellen. Berichte wie dieser werden sicherlich nicht die letzten sein, weshalb die Verfolgung der oben genannten Initiativen äußerst wichtig ist."

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.