Xen-Entwickler wollen weniger Sicherheitslücken offenlegen

Moritz Rosenfeld on February 20, 2017 - 11:10 am in Security

[ad_1]

Die Entwickler des Virtualisierungssystems Xen wollen weniger Sicherheitslücken öffentlich machen. Damit wollen sie vor allem Arbeit sparen, sorgen aber auch für eine klarere Linie im Umgang mit Schwachstellen.

Die Entwickler des Open-Source-Hypervisors Xen verbrennen nach eigener Einschätzung viele Ressourcen damit, Sicherheitsmeldungen zu veröffentlichen. Sie wollen diesen Arbeitsaufwand gerne minimieren und fragen deswegen ihre Community, unter welchen Umständen sie Security Advisories veröffentlichen sollen und wann dies nicht nötig ist.

Die größte Änderung besteht laut dem Vorschlag der Entwickler darin, dass nur noch Sicherheitsmeldungen für Lücken veröffentlicht werden, für die es einen bekannten Exploit gibt. Im originalen Wortlaut der Entwickler: “The security team will only issue an advisory if there is a known combination of software in which the vulnerability can be exploited.”

Was ist eigentlich eine Schwachstelle?

Angriffe auf die Kernel von Gast-Betriebssystemen werden von den Xen-Entwicklern nur noch aktiv untersucht, wenn es sich beim Gast um Linux, eine der drei beliebtesten BSD-Varianten (OpenBSD, FreeBSD und NetBSD) oder Windows handelt. Für Einsatzszenarien, die in der Xen-Dokumentation als experimentell oder als Tech Preview beschrieben werden, wird es keine Advisories mehr geben. Diese Änderungen der Vorgehensweise des Xen-Teams unterliegen allerdings dem Input der Community, die noch bis zum 28. Februar auf der Entwickler-Mailingliste des Xen-Projektes ihre Meinung zu den Vorschlägen kundtun darf.

Interessanterweise diskutieren die Entwickler nicht nur darüber, welche Lücken gemeldet werden sollen, sondern auch darüber, was im Xen-Projekt grundsätzlich als Sicherheitslücke gilt. So sollen etwa Rechteausweitungen und Denial-of-Service-Probleme zwar grundsätzlich als Sicherheitslücken gewertet werden; sie gelten aber als normale, nicht sicherheitskritische Bugs, wenn sie in einem Gast-Kontext ohne Systemrechte vorkommen.

Klare Ansage

Es ist denkbar, dass das in Zukunft deswegen Lücken nicht beachtet werden, die im ersten Ansatz (zum Beispiel wegen fehlender Informationen) nicht als Sicherheitsproblem gewertet wurden. Andererseits muss auch anerkannt werden, dass die Xen-Entwickler wenigstens klare Regeln kommunizieren, was bei ihnen als Lücke gilt. Sehr viele andere Open-Source-Projekte haben ihren Entscheidungsprozess in dieser Hinsicht überhaupt nicht dokumentiert oder viel weniger durchdacht. Wieder andere Projekte, zum Beispiel der Linux-Kernel, haben gar kein klares System, um Sicherheitswarnungen zu veröffentlichen. (fab)

[ad_2]