Hauptentwickler von Curl enthüllt schwerwiegende Sicherheitslücke und bedauert Fehler

Untertitel: Daniel Stenberg behebt nach 1.315 Tagen eine langjährige Schwachstelle in der Open-Source-Software

Stockholm – Daniel Stenberg, der unerschütterliche Hauptentwickler des beliebten Open-Source-Werkzeugs Curl, hat endlich eine Sicherheitslücke behoben, die seit einer gefühlten Ewigkeit in der Software schlummerte. Die Lücke wurde von Stenberg selbst als die schwerwiegendste in der Geschichte von Curl bezeichnet.

Der Grund für die jahrelange Unentdecktheit dieser Schwachstelle liegt in einem sogenannten Heap-Buffer-Overflow, der während des Socks5-Proxy-Handshakes auftritt. Stenberg erklärte, dass dieser Fehler auf die mangelnde Speichersicherheit von C zurückzuführen sei, der unschuldigen Programmiersprache, in der Curl entwickelt wurde.

“Schaut man sich den Code jetzt an, ist es schier unmöglich, diesen Fehler zu übersehen”, gestand Stenberg, der das Projekt seit 1996 leitet und als erfahrener C-Programmierer bekannt ist. “Es ist wirklich schmerzhaft, die Realität akzeptieren zu müssen, dass ich diesen Fehler unbemerkt begangen habe und er dann ganze 1.315 Tage lang im Code unentdeckt blieb. Ich möchte mich aufrichtig entschuldigen. Auch ich bin nur ein Individuum.”

Stenberg führte weiter aus, dass es wahrscheinlich gewesen wäre, die Lücke durch verbesserte Tests zu entdecken. Obwohl das Projekt bereits verschiedene Werkzeuge zur statischen Analyse einsetzt, blieb die Schwachstelle bisher unbemerkt. Der Entwickler selbst ist der Meinung, dass die Verwendung einer Programmiersprache mit Speichersicherheit eine solche Art von Lücke verhindert hätte.

Leider ist das Curl-Projekt nicht in der Lage, die Software in eine andere Sprache zu portieren. Stenberg erklärte jedoch, dass es ratsam wäre, mehr Abhängigkeiten mit einer sprachlichen Sicherheitsgarantie einzuführen. In Zukunft könnten sogar schrittweise Teile von Curl durch andere Komponenten ersetzt werden, ähnlich wie bei Hyper, einer HTTP-Bibliothek, die in Rust geschrieben wurde und Curl als Backend verwenden kann.

Die Veränderungen geschehen allerdings nur im Schneckentempo und verdeutlichen auf schmerzhafte Weise die damit verbundenen Probleme. Stenberg betonte abschließend, dass es schwierig sei, diesen Weg zu gehen, aber es sei notwendig, um die Sicherheit von Curl langfristig zu gewährleisten.

Die Nutzer von Curl können nun aufatmen, denn Daniel Stenberg hat sich persönlich der Sicherheit der Software angenommen und ist entschlossen, weitere potenzielle Schwachstellen aufzuspüren. In der Zwischenzeit bleibt zu hoffen, dass die Programmierergötter ein wachsames Auge auf die unzähligen Zeilen Code werfen, um weitere versteckte Überraschungen aufzudecken.

Schlagwörter: Sicherheitslücke + Programmiersprache + Statische Analysewerkzeuge

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 12. Oktober 2023
FEHLER!