2 Reaktionen

MOSS: Mozilla lässt weitere Open Source-Projekte auf Sicherheit prüfen

Geschätzte Lesedauer:

Im Rahmen der Initiative Secure Open Source (SOS) hat Mozilla weitere Open Source-Anwendungen hinsichtlich ihrer Sicherheit überprüfen lassen.

Mozilla hat die Initiative Mozilla Open Source Support, oder kurz: MOSS, Ende Oktober 2015 ins Leben gerufen und seit dem bereits mehrere Millionen Dollar an Open Source-Projekte ausgeschüttet, um diese finanziell zu unterstützen. Ein im Juni 2016 gestartetes Unterprojekt von MOSS ist Secure Open Source, oder kurz: SOS, mit dem Ziel, Open Source-Software sicherer zu machen. Dazu beauftragt Mozilla Sicherheits-Dienstleister, bekannte Open Source-Projekte hinsichtlich Sicherheits-Schwachstellen zu überprüfen.

Im vergangenen Jahr hatte Mozilla bereits eine Überprüfung von PCRE, libjpeg-turbo, phpMyAdmin, dnsmasq, zlib sowie curl in Auftrag gegeben. Das erste überprüfte Projekt in diesem Jahr war der Mailserver Dovecot, wie bereits im Januar berichtet.

Kurz darauf erfolgte eine Überprüfung von oauth2-server, einem in PHP geschriebenen Authentifizierungs-Server für OAuth 2.0. Hier konnte nur eine Sicherheitslücke von geringer Schwere entdeckt werden. Das Audit wurde durchgeführt vom unabhängig arbeitenden Brian Carpenter.

Für zwei weitere Projekte wurde, wie schon häufiger, Cure53 beauftragt. Überprüft wurden sowohl ntp, eine Implementierung des Network Time Protocols, sowie der Fork ntpsec.

In ntp konnten eine kritische, zwei schwere, eine mittlere sowie acht schwache Sicherheitslücken gefunden werden. In ntpsec wurde keine kritische Sicherheitslücke, aber drei schwere, eine mittlere sowie drei schwache Sicherheitslücken gefunden.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

2 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. AC
    schrieb am :

    Sehr wichtiges Projekt (sowohl MOSS als auch SOS), aber ich wundere mich, warum bei SOS nicht auch mehr FOSS-Programme für Konsumenten, wie z. B. VLC, Keepass, LibreOffice etc. zum Zuge kommen.

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Mozillas Fokus liegt auf dem Web. Damit haben VLC und LibreOffice nur wenig zu tun. 😉

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.