News-Meldung vom 13.01.2009 09:42

Anonymisierungssoftware TOR ohne (bekannte) Fehler

Das Tor-Projekt zur Anonymisierung von Internetverbindungen hat alle Fehler und Sicherheitslücken in seiner Software beseitigt – zumindest die vom Dienstleister Coverity entdeckten. Der Quellcode-Analyse-Dienstleister Coverity hatte im September 171 Probleme im Code des Tor-Projektes an die Tor-Entwickler gemeldet, die nach eigenen Angaben am 7. Januar 2009 alle behoben haben wollen.

Viele der Probleme und Schwachstellen seien auf Schlamperei beim Testen der Module zurückzuführen. Ein großer Teil seien aber echte Programmierfehler gewesen, von denen einige unter ungewöhnlichen Umständen zum Absturz geführt hätten. Zudem seien die Fehler schwer zu debuggen gewesen.

Normalerweise lässt Coverity sich seine Dienstleistungen zur Suche nach Lücken im Quellcode gut bezahlen. Seit 2006 finanziert aber das Department of Homeland Security (DHS) automatisierte Security-Audits für Open-Source-Projekte, um deren Sicherheit zu erhöhen. Dabei erhält auch Coverity regelmäßig Zahlungen, um im Rahmen des "Vulnerability Discovery and Remediation, Open Source Hardening Project" täglich den Quellcode von populären Open-Source-Projekten nach Schwachstellen zu durchkämmen. Dazu gehörten anfänglich unter anderem Apache, BIND, Ethereal, KDE, Linux, Firefox, FreeBSD, OpenBSD, OpenSSL und MySQL.

Für die Untersuchung benutzt Coverity das Fehleranalyse-Werkzeug Coverity Prevent, das Lücken in in C, C++ oder Java geschriebenen Sourcecode aufspürt. Die Mozilla Foundation hat mittlerweile das Coverity-Tool für die eigene Fehlersuche lizensiert. Die Liste der unterstützten Projekte umfasst mittlerweile viele weitere Open-Source-Projekte, darunter auch Apache, OpenVPN, Perl und Python.

Zuletzt hatte Coverity Mitte des Jahres 2008 verkündet, dass Open-Source-Software immer sicherer werde. Die Fehlerdichte habe in den letzten Jahren um 16 Prozent abgenommen. Besonderes Lob sprach Coverity unter anderem für die freie CIFS-Implementierung Samba, die Backup-Lösung Amanda, NTP, OpenVPN, den Mailserver Postfix und die Sprachen Perl, PHP und Python aus.

Siehe dazu auch: