Videokonferenz: BSI findet kritische Security-Schwachstellen bei BigBlueButton
Das BSI-Projekt CAOS hat den Code von Videokonferenz-Tools untersucht. Zwei kritische Lücken bei BigBlueButton haben die Entwickler inzwischen geschlossen.
(Bild: iX)
Das Bundesamt für Informationssicherheit untersucht im Projekt Codeanalyse von Open Source Software (CAOS) den Programmcode von Open-Source-Projekten auf Schwachstellen. Bei BigBlueButton wurde das Forschungsteam fündig. Die beiden entdeckten kritischen Lücken sind inzwischen geschlossen. Betroffen war BigBlueButton vor Version 2.4.7. und die dazugehörige Web-Benutzeroberfläche Greenlight vor 2.11.1.
Cross-Site-Scripting per Username
Die Sicherheitsprüfung der beiden beliebten quelloffenen Videokonferenz-Tools Jitsi und BigBlueButton umfasste laut des öffentlich zugänglichen Reports in einem Whitebox-Verfahren "eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards." Während die Forscher bei Jitsi zumindest keine kritischen Schwachstellen fanden, wurden sie bei BigBlueButton mit zwei als kritisch eingestuften Sicherheitslücken fündig: Wie aus den zwei veröffentlichten Common Vulnerability Enumerations CVE-2022-26497 und CVE-2022-27238 hervorgeht, geht es in beiden Fällen um Cross-Site-Scripting und die Möglichkeit, über den Usernamen JavaScript-Payloads zu injizieren.
Beide Lücken teilte das Projekt den Entwicklern vor Veröffentlichung der Untersuchungsergebnisse mit. In neueren Versionen Open-Source-Werkzeugs sind sie behoben. Außerdem fanden das CAOS-Projekt 75 Abhängigkeiten in BigBlueButton von anderem Open-Source-Code mit kritischer oder hoher Sicherheitslücken-Einstufung. Bei Jitsi waren es davon 31. Bei beiden Projekten habe man zudem Code vorgefunden, der auf "schlechte Praxis" hinweise und mit softwaregestützter Qualitätsprüfung hätte entdeckt werden müssen. Deshalb, so argumentiert der Report, sei davon auszugehen, dass eine solche Prüfung bei beiden Open-Source-Teams nicht zum Einsatz käme. Die Untersuchung fand bereits 2022 zwischen dem 1. Februar und dem 25. April statt.
CAOS ist ein Kooperationsprojekt des Bundesamts für Sicherheit in der Informationstechnik und der in München ansässigen mgm security partners GmbH. Ziel des Vorhabens, das kürzlich als CAOS 2.0 verlängert wurde, ist es, die Sicherheit beliebter Open-Source-Software zu prüfen und die zuständigen Teams beim Schreiben sicheren Codes zu unterstützen. Der Schwerpunkt der Untersuchungen liegt "auf Anwendungen, die vermehrt von Behörden oder Privatanwendern" verwendet werden. Entdeckte kritische Schwachstellen teilt das Projekt den Entwicklern dabei im Responsible-Disclosure-Verfahren vorab mit, weitere Sicherheitslücken veröffentlichen die Forschenden als CVE – so auch für die untersuchten Videokonferenz-Werkzeuge.
Die ursprüngliche Version des Artikels sagte unter anderem, dass eine Lücke in BigBlueButton vor Version 2.11.1 gefunden wurde. Das war nicht richtig: Tatsächlich war die ebenfalls von den BigBlueButton-Entwicklern veröffentlichte Web-Benutzeroberfläche für den Videokonferenz-Dienst Greenlight vor Version 2.11.1 betroffen. Die entsprechende Stelle haben wir korrigiert.
(jvo)
