Beheer

Apps
open source

Veel kritieke lekken door open source in standaard apps

Gebruik van opensourcecomponenten vaak niet bekend

© Shutterstock Wright Studio
5 augustus 2021

Gebruik van opensourcecomponenten vaak niet bekend

Bijna alle zakelijk gebruikte standaard apps waarin opensourcecomponenten zijn gebruikt bevatten kritieke lekken. Veel gebruikers weten echter niet dat de software gebaseerd is op opensourcecomponenten en zijn daardoor niet alert op mogelijke lekken.

Vrijwel alle zakelijke standaard software bevat opensourcecomponenten en die hebben allemaal lekken.  85% daarvan bevat minstens één kritiek lek. Dat constateert Osterman Research in een rapport waarvoor rond de 40 apps zijn onderzocht.

Osterman baseert zich op onderzoek dat is gedaan met software van GrammaTech die kan zoeken naar opensourcecomponenten in de binary packaging van veelgebruikte applicaties. Toegang tot de broncode is daarbij niet nodig.

Bijna allemaal CVSS 10.0

Uit het onderzoek bleek dat gemiddeld 30% van alle opensourcomponenten minsten één lek bevatte dat bekend is en een CVE-identificatie heeft. Vrijwel alle onderzochte software, 85%, bevat bovendien een lek dat zeer kritiek is: van het niveau CVSS 10.0.

Bijna alle gevonden lekken zijn algemeen bekend. Probleem is echter dat van veel apps niet bekend is bij de gebruikers dat die opensourcecomponenten bevatten. Daardoor zijn zij ook niet gespitst op mogelijke lekken in de apps die zij aanschaffen.

Twee versies van een opensourcecomponent van Firefox met kritieke lekken werden aangetroffen bij  drie kwart van alle apps met kritieke lekken.

De categorie e-mail en meeting clients bevat de kwetsbaarste apps met gemiddeld de meeste lekken van het hoogste, kritiekste niveau.

Zoom is niet meegenomen in dit onderzoek van Osterman, maar eerder al bleek dat Zoom zeker 60 opensourcecomponenten bevat en recent een rechtszaak over privacyschending wist te schikken voor 85 miljoen dollar.

 

Lees meer over Beheer OP AG Intelligence
2
Reacties
Pieter Kip 08 augustus 2021 17:37

@ALMA
In het hele stuk vind ik nergens de door jou opgevoerde framing. Wat ik wel zie is een onderzoeker die de gevaren van ongepatchte lekken onder de aandacht probeert te krijgen. De gebiasde reactie is helaas iets waar zowel de Linux als de opensource gemeenschap zich veelvuldig schuldig aan maakt, je verdedigen terwijl je niet aangevallen wordt. Het gebruik van open source componenten in software is onderworpen aan regels, en als die regels niet, of slecht worden nageleefd is dat een reden voor zorgen. De community kan zich nog zo druk maken om lekken, als de patches niet uitgevoerd worden, omdat de eindgebruiker niet weet dat dat moet, stop het daar. Dus geen aanval op open source, maar een waarschuwing, weet wat u gebruikt, en ik denk een hele noodzakelijke. Als de open source community hier nog iets mee moet, denk ik dat dat één ding is, bewaken van licentie regels, want schijnbaar kan dit ongestraft!

Alma 08 augustus 2021 10:19

Waarom is dit artikel zo eenzijdig beschreven? Het kijkt uitsluitend naar vulnerailbilities in open source componenten. Hierdoor geef je de indruk dat open source gevaarlijk is. Echter, in closed source componenten zitten natuurlijk even veel vulnerabilities. Hooguit kan vrijwel niemand die testen, en worden die zoveel mogelijk "geheim" gehouden. Echter de hackers, NSA, etc. hebben die kennis wel. Dus dit type "framing" is niet erg behulpzaam.
Wat hier belangrijk is, is dat je goede contracten met je leveranciers afsluit, die allerlei componenten (open of closed source) in hun software opnemen, en dus ook up-to-date moeten houden.
Open source wordt zowel gemaakt door commerciële bedrijven (Google, Netflix, etc.) als door mensen in hun vrije tijd.
Als iemand deze open source componenten in hun eigen software gebruikt (vaak zelf weer "commerciële software), hoort die ervoor te zorgen dat die veilige versies van componenten gebruikt. En daarnaast zouden die bedrijven ook de open source ontwikkelaars moeten ondersteunen om vulnerabilities op te kunnen lossen. M.a.w. ze zouden hen met geld en/of mankracht kunnen ondersteunen.
Maar de afnemers van deze "commerciële software" moeten in hun contracten gewoon voorwaardes over "fatsoenlijk onderhoud" opnemen. Onafhankelijk of het open of closed source componenten bevat.
Dat zou een zinvolle "framing" van dit onderwerp kunnen zijn. Nu vind ik dit een tendentieus en weinig zinvol artikel.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.