Open: Curl will Distros Sicherheitslücken nicht mehr mitteilen

Der Umgang mit Sicherheitslücken in Open-Source-Projekten und Embargos sorgen immer wieder für Probleme. Das zeigt sich nun auch an Curl.

Artikel veröffentlicht am ,
Die Security-Richtlinie für die Transferbibliothek Curl hat sich geändert - mit Folgen.
Die Security-Richtlinie für die Transferbibliothek Curl hat sich geändert - mit Folgen. (Bild: Michael Bocchieri/Getty Images)

Um den Umgang mit Sicherheitslücken und vor allem deren Behebung durch Updates besser in der Open-Source-Community koordinieren zu können, gibt es die Distros-Mailing-Liste. Unterschiedliche Auffassungen zur Veröffentlichung und eigene Projekt-Richtlinien führen dabei aber offenbar zu einem Problem, von dem nun der Hauptentwickler des Curl-Projekts Daniel Stenberg in seinem Blog berichtet.

Denn vor wenigen Wochen änderte Stenberg die Curl-Richtlinie für Sicherheitslücken. Jene Lücken, deren Schweregrad als gering oder mittel eingeschätzt werden, werden seitdem komplett öffentlich über den üblichen Ablauf für Fehlerbehebungen behandelt. Allerdings ohne darauf zu verweisen, dass es sich hierbei um Sicherheitslücken handelt. Das Projekt wolle sich damit mehr Zeit geben, Fehlerbehebungen auch für Sicherheitslücken korrekt umzusetzen und diese besser zu testen, da es hier in der Vergangenheit immer wieder Probleme gegeben habe, so Stenberg.

Wie der Entwickler weiter schreibt, habe Stenberg die Distros-Mailing-Liste seit mehr als zehn Jahren vor einer Veröffentlichung einer neuen Curl-Version auch immer über behobene Sicherheitslücken vor-informiert. Das ist letztlich auch die Idee der Community-Mailing-Liste. Können die Distro-Verantwortlichen doch so ihre Veröffentlichung der betroffenen Pakete vorbereiten und dies mit dem Upstream-Projekt koordinieren.

Die neue Richtlinie von Curl, bei der Sicherheitslücken öffentlich behandelt werden, widerspreche der Richtlinie der Distro-Mailingliste. Projekte dürften demnach nicht um ein Embargo bitten, wenn die Lücken bereits öffentlich behoben wurden. Eine ähnliche Diskussion gab es bereits im vergangenen Jahr mit der Linux-Kernel-Community, wie LWN berichtete. Als Konsequenz der Diskussion kündigte Stenberg nun für Curl an, Informationen zu den betreffenden Sicherheitslücken nicht mehr vorab über die Distro-Mailingliste zu verteilen. Darüber hinaus erwäge Stenberg auch künftig, schwerwiegende Sicherheitslücken nicht mehr vorab über die Distro-Mailingliste anzukündigen. Diese träten in dem Projekt sowieso kaum auf.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Open Source
Curl-Entwickler kritisiert fehlende Unterstützung von Apple
artikel-bild
Ksmbd
Kritische Lücke im SMB-Dienst des Linux-Kernels
artikel-bild
Sicherheitslücke
Die IT-Wirtschaft hat zu wenig aus Heartbleed gelernt
Meistgelesen
artikel-bild
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung
artikel-bild
Sipeed Tang Nano im Test
Günstiger FPGA-Einstieg mit Frustpotenzial
artikel-bild
Magnetohydrodynamischer Antrieb
US-Militär lässt lautlosen U-Boot-Antrieb entwickeln
Kommentarübersicht
was wird denn an curl noch weiterentwickelt?
Norcoen 01. Apr 2023

hab nicht das Gefühl es heute anders zu benutzen als vor 15 Jahren

Re: Nicht schlimm
Cerdo 31. Mär 2023

Open Source ist der Grund dafür, dass die meisten Sicherheitslücken überhaupt erkannt...

Re: Warum keine Payed-Mailinglist?
GottZ 30. Mär 2023

als Hacker hat man auch finanzielles Interesse an sicherheitslücken. egal ob black oder...

Aktuell auf der Startseite von Golem.de
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung

Die Community reagiert sauer auf Leaks über die Preise im Itemshop von Diablo 4. Ein Rüstungsset kostet fast so viel wie früher ein Add-on.

Blizzard: Preise im Itemshop von Diablo 4 entfachen Empörung
Artikel
  1. Generative Fill: Wie Adobes KI-Funktionen das Internet spalten
    Generative Fill
    Wie Adobes KI-Funktionen das Internet spalten

    Die KI-Füllfunktion in Photoshop erfindet Hintergründe zu Gemälden oder Album-Covern. Einige finden das kreativ, andere sehen die Kunst bedroht.

  2. Schufa-Score: Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung
    Schufa-Score
    Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung

    Die DKB hat einen Kreditkartenantrag nur gestützt auf Algorithmen und den Schufa-Score abgelehnt und dies auch nicht begründet. Das kostet 300.000 Euro Bußgeld.

  3. ROG Ally im Test: Asus nimmt es mit dem Steam Deck auf
    ROG Ally im Test
    Asus nimmt es mit dem Steam Deck auf

    Mit dem ROG Ally bietet Asus eine tolle Alternative zum Steam Deck an. Er ist merklich schneller, hat aber ein paar Schwächen.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Gigabyte RTX 3060 Ti 369€ • Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Deals Week • MindStar: Corsair Crystal RGB Midi Tower 119€, Palit RTX 4070 659€ • Roccat bis -50% • AVM Modems & Repeater bis -36% • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /