Untertitel: Daniel Stenberg behebt nach 1.315 Tagen eine langj\u00e4hrige Schwachstelle in der Open-Source-Software<\/p>\n
Stockholm – Daniel Stenberg, der unersch\u00fctterliche Hauptentwickler des beliebten Open-Source-Werkzeugs Curl, hat endlich eine Sicherheitsl\u00fccke behoben, die seit einer gef\u00fchlten Ewigkeit in der Software schlummerte. Die L\u00fccke wurde von Stenberg selbst als die schwerwiegendste in der Geschichte von Curl bezeichnet. <\/p>\n
Der Grund f\u00fcr die jahrelange Unentdecktheit dieser Schwachstelle liegt in einem sogenannten Heap-Buffer-Overflow, der w\u00e4hrend des Socks5-Proxy-Handshakes auftritt. Stenberg erkl\u00e4rte, dass dieser Fehler auf die mangelnde Speichersicherheit von C zur\u00fcckzuf\u00fchren sei, der unschuldigen Programmiersprache, in der Curl entwickelt wurde. <\/p>\n
„Schaut man sich den Code jetzt an, ist es schier unm\u00f6glich, diesen Fehler zu \u00fcbersehen“, gestand Stenberg, der das Projekt seit 1996 leitet und als erfahrener C-Programmierer bekannt ist. „Es ist wirklich schmerzhaft, die Realit\u00e4t akzeptieren zu m\u00fcssen, dass ich diesen Fehler unbemerkt begangen habe und er dann ganze 1.315 Tage lang im Code unentdeckt blieb. Ich m\u00f6chte mich aufrichtig entschuldigen. Auch ich bin nur ein Individuum.“<\/p>\n
Stenberg f\u00fchrte weiter aus, dass es wahrscheinlich gewesen w\u00e4re, die L\u00fccke durch verbesserte Tests zu entdecken. Obwohl das Projekt bereits verschiedene Werkzeuge zur statischen Analyse einsetzt, blieb die Schwachstelle bisher unbemerkt. Der Entwickler selbst ist der Meinung, dass die Verwendung einer Programmiersprache mit Speichersicherheit eine solche Art von L\u00fccke verhindert h\u00e4tte.<\/p>\n
Leider ist das Curl-Projekt nicht in der Lage, die Software in eine andere Sprache zu portieren. Stenberg erkl\u00e4rte jedoch, dass es ratsam w\u00e4re, mehr Abh\u00e4ngigkeiten mit einer sprachlichen Sicherheitsgarantie einzuf\u00fchren. In Zukunft k\u00f6nnten sogar schrittweise Teile von Curl durch andere Komponenten ersetzt werden, \u00e4hnlich wie bei Hyper, einer HTTP-Bibliothek, die in Rust geschrieben wurde und Curl als Backend verwenden kann. <\/p>\n
Die Ver\u00e4nderungen geschehen allerdings nur im Schneckentempo und verdeutlichen auf schmerzhafte Weise die damit verbundenen Probleme. Stenberg betonte abschlie\u00dfend, dass es schwierig sei, diesen Weg zu gehen, aber es sei notwendig, um die Sicherheit von Curl langfristig zu gew\u00e4hrleisten. <\/p>\n
Die Nutzer von Curl k\u00f6nnen nun aufatmen, denn Daniel Stenberg hat sich pers\u00f6nlich der Sicherheit der Software angenommen und ist entschlossen, weitere potenzielle Schwachstellen aufzusp\u00fcren. In der Zwischenzeit bleibt zu hoffen, dass die Programmiererg\u00f6tter ein wachsames Auge auf die unz\u00e4hligen Zeilen Code werfen, um weitere versteckte \u00dcberraschungen aufzudecken.<\/p>\n
Schlagw\u00f6rter: Sicherheitsl\u00fccke + Programmiersprache + Statische Analysewerkzeuge<\/p>\n","protected":false},"excerpt":{"rendered":"
Untertitel: Daniel Stenberg behebt nach 1.315 Tagen eine langj\u00e4hrige Schwachstelle in der Open-Source-Software Stockholm – Daniel Stenberg, der unersch\u00fctterliche Hauptentwickler des beliebten Open-Source-Werkzeugs Curl, hat endlich eine Sicherheitsl\u00fccke behoben, die seit einer gef\u00fchlten Ewigkeit in der Software schlummerte. Die L\u00fccke wurde von Stenberg selbst als die schwerwiegendste in der Geschichte...<\/p>\n","protected":false},"author":4,"featured_media":210,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-211","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=211"}],"version-history":[{"count":1,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/211\/revisions"}],"predecessor-version":[{"id":247,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/211\/revisions\/247"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/210"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}