Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Videokonferenz: BSI findet kritische Security-Schwachstellen bei BigBlueButton

Videokonferenz: BSI findet kritische Security-Schwachstellen bei BigBlueButton​

02.08.2023 12:33 Uhr Jonas Volkert
Du musst angemeldet sein, um Bilder zu sehen.

(Bild: iX)

Das BSI-Projekt CAOS hat den Code von Videokonferenz-Tools untersucht. Zwei kritische Lücken bei BigBlueButton haben die Entwickler inzwischen geschlossen.

Das Bundesamt für Informationssicherheit untersucht im Projekt Codeanalyse von Open Source Software (CAOS) den Programmcode von Open-Source-Projekten auf Schwachstellen. Bei BigBlueButton wurde das Forschungsteam fündig. Die beiden entdeckten kritischen Lücken sind inzwischen geschlossen. Betroffen waren BigBlueButton-Versionen, die älter als 2.11.1, beziehungsweise 2.4.7., sind.

Cross-Site-Scripting per Username​

Die Sicherheitsprüfung der beiden beliebten quelloffenen Videokonferenz-Tools [1] Jitsi und BigBlueButton umfasste laut des öffentlich zugänglichen Reports [2] in einem Whitebox-Verfahren "eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards." Während die Forscher bei Jitsi zumindest keine kritischen Schwachstellen fanden, wurden sie bei BigBlueButton mit zwei als kritisch eingestuften Sicherheitslücken fündig: Wie aus den zwei veröffentlichten Common Vulnerability Enumerations CVE-2022-26497 [3] und CVE-2022-27238 [4] hervorgeht, geht es in beiden Fällen um Cross-Site-Scripting und die Möglichkeit, über den Usernamen JavaScript-Payloads zu injizieren.

Beide Lücken teilte das Projekt den Entwicklern vor Veröffentlichung der Untersuchungsergebnisse mit. In neueren Versionen Open-Source-Werkzeugs sind sie behoben. Außerdem fanden das CAOS-Projekt 75 Abhängigkeiten in BigBlueButton von anderem Open-Source-Code mit kritischer oder hoher Sicherheitslücken-Einstufung. Bei Jitsi waren es davon 31. Bei beiden Projekten habe man zudem Code vorgefunden, der auf "schlechte Praxis" hinweise und mit softwaregestützter Qualitätsprüfung hätte entdeckt werden müssen. Deshalb, so argumentiert der Report, sei davon auszugehen, dass eine solche Prüfung bei beiden Open-Source-Teams nicht zum Einsatz käme. Die Untersuchung fand bereits 2022 zwischen dem 1. Februar und dem 25. April statt.

CAOS ist ein Kooperationsprojekt des Bundesamts für Sicherheit in der Informationstechnik und der in München ansässigen mgm security partners GmbH. Ziel des Vorhabens, das kürzlich als CAOS 2.0 verlängert wurde, ist es, die Sicherheit beliebter Open-Source-Software zu prüfen und die zuständigen Teams beim Schreiben sicheren Codes zu unterstützen. Der Schwerpunkt der Untersuchungen liegt "auf Anwendungen, die vermehrt von Behörden oder Privatanwendern" verwendet werden. Entdeckte kritische Schwachstellen teilt das Projekt den Entwicklern dabei im Responsible-Disclosure-Verfahren vorab mit, weitere Sicherheitslücken veröffentlichen die Forschenden als CVE – so auch für die untersuchten Videokonferenz-Werkzeuge.
[5]
(jvo [6])


URL dieses Artikels:
 
Zurück
Oben