Open: Curl will Distros Sicherheitslücken nicht mehr mitteilen

Der Umgang mit Sicherheitslücken in Open-Source-Projekten und Embargos sorgen immer wieder für Probleme. Das zeigt sich nun auch an Curl.

Artikel veröffentlicht am ,
Die Security-Richtlinie für die Transferbibliothek Curl hat sich geändert - mit Folgen.
Die Security-Richtlinie für die Transferbibliothek Curl hat sich geändert - mit Folgen. (Bild: Michael Bocchieri/Getty Images)

Um den Umgang mit Sicherheitslücken und vor allem deren Behebung durch Updates besser in der Open-Source-Community koordinieren zu können, gibt es die Distros-Mailing-Liste. Unterschiedliche Auffassungen zur Veröffentlichung und eigene Projekt-Richtlinien führen dabei aber offenbar zu einem Problem, von dem nun der Hauptentwickler des Curl-Projekts Daniel Stenberg in seinem Blog berichtet.

Denn vor wenigen Wochen änderte Stenberg die Curl-Richtlinie für Sicherheitslücken. Jene Lücken, deren Schweregrad als gering oder mittel eingeschätzt werden, werden seitdem komplett öffentlich über den üblichen Ablauf für Fehlerbehebungen behandelt. Allerdings ohne darauf zu verweisen, dass es sich hierbei um Sicherheitslücken handelt. Das Projekt wolle sich damit mehr Zeit geben, Fehlerbehebungen auch für Sicherheitslücken korrekt umzusetzen und diese besser zu testen, da es hier in der Vergangenheit immer wieder Probleme gegeben habe, so Stenberg.

Wie der Entwickler weiter schreibt, habe Stenberg die Distros-Mailing-Liste seit mehr als zehn Jahren vor einer Veröffentlichung einer neuen Curl-Version auch immer über behobene Sicherheitslücken vor-informiert. Das ist letztlich auch die Idee der Community-Mailing-Liste. Können die Distro-Verantwortlichen doch so ihre Veröffentlichung der betroffenen Pakete vorbereiten und dies mit dem Upstream-Projekt koordinieren.

Die neue Richtlinie von Curl, bei der Sicherheitslücken öffentlich behandelt werden, widerspreche der Richtlinie der Distro-Mailingliste. Projekte dürften demnach nicht um ein Embargo bitten, wenn die Lücken bereits öffentlich behoben wurden. Eine ähnliche Diskussion gab es bereits im vergangenen Jahr mit der Linux-Kernel-Community, wie LWN berichtete. Als Konsequenz der Diskussion kündigte Stenberg nun für Curl an, Informationen zu den betreffenden Sicherheitslücken nicht mehr vorab über die Distro-Mailingliste zu verteilen. Darüber hinaus erwäge Stenberg auch künftig, schwerwiegende Sicherheitslücken nicht mehr vorab über die Distro-Mailingliste anzukündigen. Diese träten in dem Projekt sowieso kaum auf.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Open Source
Curl-Entwickler kritisiert fehlende Unterstützung von Apple
artikel-bild
Ksmbd
Kritische Lücke im SMB-Dienst des Linux-Kernels
artikel-bild
Sicherheitslücke
Die IT-Wirtschaft hat zu wenig aus Heartbleed gelernt
Meistgelesen
artikel-bild
Künstliche Intelligenz
So funktionieren KI-Bildgeneratoren
artikel-bild
Whistleblower
USA sollen intaktes außerirdisches Fluggerät besitzen
artikel-bild
Gigatron TTL zusammengebaut
Viel löten, viel Spaß, kein Mikroprozessor
Kommentarübersicht
was wird denn an curl noch weiterentwickelt?
Norcoen 01. Apr 2023

hab nicht das Gefühl es heute anders zu benutzen als vor 15 Jahren

Re: Nicht schlimm
Cerdo 31. Mär 2023

Open Source ist der Grund dafür, dass die meisten Sicherheitslücken überhaupt erkannt...

Re: Warum keine Payed-Mailinglist?
GottZ 30. Mär 2023

als Hacker hat man auch finanzielles Interesse an sicherheitslücken. egal ob black oder...

Aktuell auf der Startseite von Golem.de
Update für Google Maps
Google Street View kehrt nach Deutschland zurück

Nach 13 Jahren aktualisiert Google die Straßenfotos für Street View. Dafür verschwindet zuerst das gesamte alte Bildmaterial.

Update für Google Maps: Google Street View kehrt nach Deutschland zurück
Artikel
  1. Porsche Mission X: Elektrisches Hypercar mit Flügeltüren vorgestellt
    Porsche Mission X
    Elektrisches Hypercar mit Flügeltüren vorgestellt

    Sollte der Mission X in Serie gehen, soll er laut Porsche das schnellste Serienauto auf der Nordschleife sein. Und doppelt so schnell laden wie ein Taycan.

  2. Polaris: Bundeswehr will neues Aerospike-Raketentriebwerk
    Polaris
    Bundeswehr will neues Aerospike-Raketentriebwerk

    Den Auftrag für das neue Triebwerk hat die Bundeswehr an das deutsche Start-up Polaris gegeben, das damit in die Luftfahrtgeschichte eingehen kann.

  3. Pharo: Guter Einstieg in die objektorientierte Programmierung
    Pharo
    Guter Einstieg in die objektorientierte Programmierung

    Pharo ist eine von Smalltalk abgeleitete Programmiersprache und gut für alle, die sich mit objektorientierter Programmierung vertraut machen wollen. Eine Einführung.
    Eine Anleitung von Christophe Leske

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: Corsair Crystal 570X RGB Mirror 99€, be quiet! Pure Base 500 59€, Patriot Viper VENOM RGB DDR5-6200 32 GB 109€ • Acer XZ322QUS 259€ • Corsair RM750x 108€ • Corsair K70 RGB PRO 135€ • PS5-Spiele & Zubehör bis -75% • Chromebooks bis -32% • NBB: Gaming-Produkte bis -50% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /