Open: Curl will Distros Sicherheitslücken nicht mehr mitteilen

Der Umgang mit Sicherheitslücken in Open-Source -Projekten und Embargos sorgen immer wieder für Probleme. Das zeigt sich nun auch an Curl.

30. März 2023 um 10:39 Uhr / Sebastian Grüner

5 Kommentare News folgen (öffnet im neuen Fenster)

Die Security-Richtlinie für die Transferbibliothek Curl hat sich geändert - mit Folgen. (Bild: Michael Bocchieri/Getty Images) — Die Security-Richtlinie für die Transferbibliothek Curl hat sich geändert - mit Folgen. Bild: Michael Bocchieri/Getty Images

Um den Umgang mit Sicherheitslücken und vor allem deren Behebung durch Updates besser in der Open-Source-Community koordinieren zu können, gibt es die Distros-Mailing-Liste. Unterschiedliche Auffassungen zur Veröffentlichung und eigene Projekt-Richtlinien führen dabei aber offenbar zu einem Problem, von dem nun der Hauptentwickler des Curl-Projekts Daniel Stenberg in seinem Blog(öffnet im neuen Fenster) berichtet.

Denn vor wenigen Wochen änderte Stenberg die Curl-Richtlinie für Sicherheitslücken(öffnet im neuen Fenster) . Jene Lücken, deren Schweregrad als gering oder mittel eingeschätzt werden, werden seitdem komplett öffentlich über den üblichen Ablauf für Fehlerbehebungen behandelt. Allerdings ohne darauf zu verweisen, dass es sich hierbei um Sicherheitslücken handelt. Das Projekt wolle sich damit mehr Zeit geben, Fehlerbehebungen auch für Sicherheitslücken korrekt umzusetzen und diese besser zu testen, da es hier in der Vergangenheit immer wieder Probleme gegeben habe, so Stenberg.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft 365 Copilot sicher administrieren und integrieren

zum Artikel

Karriere Ratgeber: Wer krank zur Arbeit geht, zahlt wochenlang dafür

zum Ratgeber

Seminar: NIS 2-Sicherheitsmanagement: Integration mit ISMS, ISO 27001, IT-Grundschutz: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux Administration: Networking - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Wie der Entwickler weiter schreibt, habe Stenberg die Distros-Mailing-Liste seit mehr als zehn Jahren vor einer Veröffentlichung einer neuen Curl-Version auch immer über behobene Sicherheitslücken vor-informiert. Das ist letztlich auch die Idee der Community-Mailing-Liste. Können die Distro-Verantwortlichen doch so ihre Veröffentlichung der betroffenen Pakete vorbereiten und dies mit dem Upstream-Projekt koordinieren.

Die neue Richtlinie von Curl, bei der Sicherheitslücken öffentlich behandelt werden, widerspreche der Richtlinie der Distro-Mailingliste. Projekte dürften demnach nicht um ein Embargo bitten, wenn die Lücken bereits öffentlich behoben wurden. Eine ähnliche Diskussion gab es bereits im vergangenen Jahr mit der Linux-Kernel-Community, wie LWN berichtete(öffnet im neuen Fenster) . Als Konsequenz der Diskussion kündigte Stenberg nun für Curl an, Informationen zu den betreffenden Sicherheitslücken nicht mehr vorab über die Distro-Mailingliste zu verteilen. Darüber hinaus erwäge Stenberg auch künftig, schwerwiegende Sicherheitslücken nicht mehr vorab über die Distro-Mailingliste anzukündigen. Diese träten in dem Projekt sowieso kaum auf.

Zur Startseite 5 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen