Das Bundesamt für Cybersicherheit (Bacs) und das Nationale Testinstitut für Cybersicherheit (NTC) haben für ein Pilotprojekt zusammengespannt. Gemeinsam haben sie Open-Source-Software-Lösungen auf Schwachstellen analysiert.

Geprüft wurden das Content-Management-System (CMS) Typo3 und das Geoinformationssystem QGIS. Ziel war es laut Mitteilung, exemplarisch zwei in der Verwaltung weit verbreitete und relevante OSS-Produkte "technisch zu prüfen, Schwachstellen zu identifizieren und gemeinsam mit der Entwickler-Community zu beheben".

Die Auswahl der Produkte erfolgte unter Einbezug der Sicherheitsverantwortlichen von Bund, Kantonen und Gemeinden. Die technische Analyse übernahm das NTC, während das Bacs für die Koordination und Kommunikation der Schwachstellen im Rahmen des Coordinated-Vulnerability-Disclosure-(CVD)-Prozesses zuständig war.

Beim CMS Typo3 wurden insgesamt acht Schwachstellen identifiziert: zwei Schwachstellen in Typo3 Core mit tiefem Schweregrad sowie sechs weitere Schwachstellen in verschiedenen Erweiterungen, darunter eine Schwachstelle mit der Einstufung "kritisch" und eine mit der Einstufung "hoch". Das Core Framework weise eine robuste Sicherheitslage auf, heisst es im Audit (PDF). Die Bewertung der ausgewählten Erweiterungen habe jedoch eine vergleichsweise schwächere Sicherheit ergeben. So erlaube es die entdeckte kritische Lücke Angreifern, beliebige Systembefehle auszuführen.

Das Geoinformationssystem QGIS wird primär in der Umweltplanung, Stadtplanung, Geografie, Forschung und bei Behörden eingesetzt, um Karten zu erstellen und datenbasierte Entscheidungen zu unterstützen. Hier wurden der QGIS-Server sowie der Webclient der Organisation (QWC2) geprüft. Insgesamt wurden sechs Schwachstellen identifiziert: eine mit tiefer Einstufung beim QGIS-Server und fünf beim QGIS-Webclient, zwei davon mit der Bewertung "hoch". Diese beiden Lücken würden es gemäss Audit (PDF) Angreifern ermöglichen, beliebigen Javascript-Code einzufügen, der dann ausgeführt wird, wenn ein anderer Benutzer auf den betroffenen Teil der Anwendung zugreift.

Die technischen Details sind in den beiden Audits sowie im Vulnerability Hub des NTC dokumentiert. Alle relevanten Sicherheitslücken wurden laut Mitteilung innerhalb der 90-Tage-Frist durch die verantwortlichen Entwicklerteams behoben. Die aktualisierten Software-Versionen stehen bei Typo3 und QGIS zum Download zur Verfügung.

Bacs und NTC ziehen eine positive Bilanz des Pilotprojekts und aus den Rückmeldungen der Beteiligten. Das Projekt habe "die Transparenz zur Sicherheit von OSS erhöht, die Angriffsfläche reduziert und damit die Cyberresilienz gestärkt". Damit würde auch ein konkreter Beitrag zur globalen Cybersicherheit geleistet.

Das Bundesamt prüfe Möglichkeiten, wie vergleichbare Sicherheitsprüfungen künftig langfristig unterstützt und finanziert werden können. "Festzuhalten ist, dass die Sicherheit von Open Source Software nicht nur eine technische, sondern eine gesellschaftliche Aufgabe ist und ein entscheidender Faktor für die digitale Souveränität und Widerstandsfähigkeit der Schweiz", betonen Bacs und NTC.