Kommerzielle Software voller ungepatchter Open-Source-Software

(Bild: Black Duck)

In kommerzieller Software schlummern gewaltige Sicherheitslücken - denn sie enthält oft alte Open Source Software in alten, ungepatchten Varianten. Die Nutzer tappen im Dunkeln und die Entwickler sind oft ahnungslos.

Nach einem Bericht des Sicherheitsunternehmens Black Duck Software soll kommerzielle Software mit quelloffenen Komponenten ausgerüstet sein, die nie gepatcht wurden. Uralte aber gravierende Lücken wie Heartbleed und Poodle seien demnach noch in etwa 10 Prozent der Programme nicht gestopft worden.

Die Daten wurden für den IBM Security AppScan erstellt. Im Sechsmonatszeitraum bis März 2016 hat Black Duck dafür rund 200 kommerzielle Anwendungen untersucht. Im Durchschnitt enthielten diese mehr als 100 quelloffene Komponenten. Zu Beginn einer solchen Prüfung ist den Anbietern typischerweise aber nur etwa die Hälfte dieser Bauteile bekannt.

Lies auch: US-Armee veröffentlicht Analyse-Software für Cyber-Attacken als Open Source

Dieser Informationsmangel hat natürlich Auswirkungen auf die Aktualisierungspolitik: Nicht bekannte Komponenten werden nicht gepatcht, was die Wahrscheinlichkeit steigen lässt, dass sich darin alte Bugs finden.

Insgesamt waren es 67 Prozent der Anwendungen, die anfällige Open-Source-Komponenten enthielten. Im Schnitt konnte Black Duck die Präsenz von fünf Bestandteilen mit bekannten Schwachstellen konstatieren, die aber durchaus mehr Anfälligkeiten aufwiesen: Die durchschnittliche Anzahl ungepatchter Lücken betrug 22,5 pro Anwendung.

Die gefundenen Schwachstellen waren im Schnitt etwa fünf Jahre alt. „Das weist darauf hin, dass die Firmen nichts von den Schwachstellen wussten, entweder weil ihnen die Präsenz einer Komponente unbekannt war oder weil sie öffentlich verfügbare Ressourcen zu Schwachstellen nicht genutzt hatten“, heißt es in dem Bericht.

Der für Black Ducks Produktstrategie zuständige Vizepräsident Mike Pittenger erklärte, das Problem sei keinesfalls die Verwendung von Open-Source-Software. Vielmehr sei ihr Einsatz nicht ausreichend bekannt, und die Firmen würden sich auch zu wenig über neue Schwachstellen informieren.

IBM weist mit Veröffentlichung der Zahlen darauf hin, dass es zusammen mit Black Duck eine Lösung anbietet, um Open-Source-Komponenten und ihre Schwachstellen zu identifizieren, zu beheben und zu kontrollieren. Kunden können ihre Anwendungen mit IBM AppScan untersuchen und sich anschließend über den Black Duck Hub fortlaufend informieren lassen, welche ihrer Anwendungen von einer neu entdeckten Lücke betroffen sind. Freilich kann man die Verwendung von OSS-Komponenten auch von vornherein selbst gründlich dokumentieren und diese jeweils bei Verfügbarkeit eines Patches aktualisieren.

Tags :Quellen:ZDNet.comVia:Mit Material von Florian Kalenda, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising