Im Rahmen einer Open-Source-Codeanalyse hat das BSI den Messenger Matrix und die Social-Media-Anwendung Mastodon auf kritische Schwachstellen untersucht.
Das Bundesamt für Sicherheit in der Informationstechnik überprüfte zusammen mit der Münchner Firma MGM Security Partners den Quellcode des Messenger-Dienstes Matrix und der Social-Media-Anwendung Mastodon . Im Rahmen des Projekts zur Codeanalyse von Open-Source-Software prüften Experten die Dienste auf mögliche Mängel und wurden fündig. Mastodon wies laut den im Herbst 2023 durchgeführten Analysen in der Version 4.1.
Eine weitere Lücke fanden die Forscher bei einer umgehbaren Durchsatzratenbegrenzung . Diese werde in ihrem Schweregrad dadurch verschärft, dass die Anwendung die Nutzung von trivialen Passwörtern sowie die unlimitierte Enumeration von validen Nutzernamen zulasse, heißt es in der Studie. Eine Schwachstellennummer werde dafür noch beantragt.
Beim Matrix-Zugangsclient Element entdeckten die Experten eine als niedrig eingestufte Sicherheitslücke. Dabei handelt es sich um einen vom Server in der Standardkonfiguration nicht gesetzten Response-Header, der – bei richtigem Einsatz – als Verteidigungsmaßnahme die Sicherheit der Anwendung weiter erhöhen könnte.
Sowohl bei Mastodon als auch bei Matrix konnten die Prüfer keine Hinweise auf ein strukturiertes, toolgestütztes Vorgehen zur regelmäßigen Identifikation und Korrektur von Schwachstellen finden. Die relativ große Menge an Code-Duplizierungen per Copy-and-Paste deuteten zudem auf teilweise chaotisch "gewachsene", unaufgeräumte Projekte hin.
Mastodon Matrix Open Source Sicherheitslücken Softwarequalität
Deutschland Neuesten Nachrichten, Deutschland Schlagzeilen
Similar News:Sie können auch ähnliche Nachrichten wie diese lesen, die wir aus anderen Nachrichtenquellen gesammelt haben.
Gefundenes Fressen für Hacker: Experten zeigen riesige Sicherheitslücken bei WallboxenSicherheitsforscher der niederländischen IT-Sicherheitsfirma Computest haben bei einer IT-Messe in Las Vegas große IT-Lücken bei drei Wallboxen offengelegt. Innerhalb kürzester Zeit konnten die Experten die Ladestationen übernehmen. Dazu reichte Bluetooth.
Weiterlesen »
SPD-Politiker über Afghanistan-Einsatz: „Stellten Bürokratie über Humanität“Ignoranz und Sicherheitslücken: Der Vorsitzende des Afghanistan-Untersuchungsausschusses Ralf Stegner spricht über die Fehler der Bundesregierung.
Weiterlesen »
Sicherheitsupdates F5: Angreifer können unbefugt auf BIG-IP-Appliances zugreifenMehrere Sicherheitslücken ermöglichen Attacken auf BIG-IP Next Central Manager und BIG-IP Next SPK.
Weiterlesen »
![Neu in .NET 8.0 [35]: Sicherheitswarnungen vor NuGet-Paketen](https://i.headtopics.com/images/2024/8/23/heise-de/neu-in-net-8-0-35-sicherheitswarnungen-vor-nuget-p-neu-in-net-8-0-35-sicherheitswarnungen-vor-nuget-p-34724851A4D04A89AE52B5E1FE088710.webp?w=640)
Neu in .NET 8.0 [35]: Sicherheitswarnungen vor NuGet-PaketenVisual Studio und die .NET-Kommandozeilenwerkzeuge können nun vor Pakete mit Sicherheitslücken warnen.
Weiterlesen »
Sicherheitslücken: Atlassian patcht Bamboo, Confluence, Jira und Co.Atlassian hat Updates für zahlreiche Produkte veröffentlicht. Sie schließen als hohes Risiko geltende Sicherheitslücken etwa in Bambo, Confluence und Jira.
Weiterlesen »
Balkonkraftwerke: Sicherheitslücken in Verwaltungsplattform Solarman entdecktDie Verwaltungsplattform Solarman insbesondere für Balkonkraftwerke mit Deye-Wechselrichtern wies eklatante Sicherheitslücken auf.
Weiterlesen »