Die Cloud Native Computing Foundation hat ein von der NCC Group jetzt abgeschlossenes Security Audit für Kubernetes als Open Source veröffentlicht.

Grundlage für das im Sommer 2022 gestartete Audit war Kubernetes 1.24. Ziel der Sicherheitsüberprüfung war es, alle Probleme in der Projektarchitektur und der Codebasis zu identifizieren, die die Sicherheit der Kubernetes-Benutzer beeinträchtigen könnten, teilte die CNCF bei der KubeCon + CloudNativeCon Europe in Amsterdam mit. Diese Sicherheitsprüfung sollte ein umfassendes Bild der Sicherheitslage von Kubernetes und seiner Quellcodebasis zeichnen und konzentrierte sich auf diverse Komponenten von Kubernetes.

Da Kubernetes auf Container-Runtimes wie Docker und CRI-O angewiesen sei, habe man Container-Escape-Vorgänge, die auf Fehlern in der Container-Laufzeit beruhen, nicht berücksichtigt, es sei denn, der Vorgang sei durch einen Fehler bei der Einrichtung des Containers durch Kubernetes entstanden, heißt es weiter zur Methodík.

Beim Audit seien unter anderem eine Reihe von Problemen mit der Administration von Benutzer- oder Netzwerkberechtigungen aufgefallen. Diese könnten für Verwirrung sorgen oder zu Unklarheiten über die für eine bestimmte Komponente verfügbaren Berechtigungen, heißt es.

Auch habe man Schwachstellen in der komponentenübergreifenden Authentifizierung entdeckt, die es unter Umständen einem böswilligen Benutzer ermöglichen, die Berechtigungen zum Cluster-Administrator zu erweitern.

Die auf Kubernetes 1.24 basierende Sicherheitsprüfung (PDF) ist im Kubernetes-GitHub-Repository verfügbar. Die CNCF hat im Jahr 2018 damit begonnen, Audits abzuhalten um das von ihr betreute Ökosystem sicher zu halten. Seit dieser Zeit hätten argo, Backstage, CoreDNS, CRI-O, Envoy, etcd, Flux, KubeEdge, Linkerd, Prometheus, SPIFFE/SPIRE und andere CNCF-Projekte Sicherheitsaudits durchlaufen.

Der Beitrag KubeCon + CloudNativeCon Europe: CNCF veröffentlicht Kubernetes Audit erschien zuerst auf Linux-Magazin.

Das Team von KeePassXC hat sich seit Bestehen des Projekts ein unabhängiges Audit gewünscht. Über sechs Jahre gibt es den kostenlosen Passwort-Manager bereits. Nun wurde bekannt gegeben, dass der unabhängige Security-Berater Zaur Molotnikov am 19. Januar 2023 ein Audit gegen KeePassXC 2.7.4 durchgeführt hat. Die Prüfung wurde für das KeePassXC-Team kostenlos durchgeführt und die Ergebnisse sowie der Bericht wurden auf ihre Richtigkeit überprüft. Insgesamt bietet der Experte einen detaillierten Überblick zur KeePassXC-Anwendung und die ihr zugrunde liegende Codebasis. Außerdem gibt […]

Der Beitrag KeePassXC hat Audit-Bericht bestanden ist von bitblokes.de.

Der Open Source Technology Improvement Fund (OSTIF) hat die Ergebnisse einer Sicherheitsüberprüfung und eines Bedrohungsmodells für Git veröffentlicht.

Git sei das weltweit am weitesten verbreitete Versionskontrollsystem und bilde nicht nur die Grundlage für Open Source, sondern auch für die überwiegende Mehrheit der öffentlichen und privaten Softwareentwicklung, schreibt der OSTIF.

Der OSTIF bedankt sich für die Finanzierung und Unterstützung durch das Google Open Source Security Team (GOSST) und die Hilfe der OpenSSF.

Im Security Audit seien insgesamt 35 Probleme entdeckt worden, darunter zwei kritische und ein sehr schwerwiegender Befund, teilt der OSTIF mit. Darüber hinaus seien während der Untersuchung eine Reihe von potenziell katastrophalen Sicherheitsfehlern entdeckt und intern vom Git-Sicherheitsteam behoben worden. In der aktuellen Veröffentlichung von Git seien die kritischen Bugs behoben.

Zu den kritischen Fehlern zählten Out-of-Bounds Reads und Writes. Die Fehler beim Lesen und Schreiben in zugewiesene Speicherbereiche haben zweimal das Gefahrenpotenzial kritisch und einmal hoch zugewiesen bekommen.

Der komplette Bericht zum Git Security Assessment ist online als PDF abrufbar.

Der Beitrag Security Audit für Git abgeschlossen erschien zuerst auf Linux-Magazin.