Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert alle Nutzer des Passwortmanagers Vaultwarden dringend dazu auf, ein Sicherheitsupdate zu installieren. Der Appell basiert auf zwei schwerwiegenden Sicherheitslücken, die im Projekt „Codeanalyse von Open Source Software“ (CAOS 3.0) entdeckt wurden.
Experten stufen Sicherheitslücken als kritisch ein
Sicherheitsforscher bewerten die Schwachstellen als „hoch“. Angreifer könnten sie nutzen, um auf sensible Nutzerdaten zuzugreifen. Die Analyse führte das BSI in Zusammenarbeit mit der mgm security partners GmbH durch. Dabei deckten sie erhebliche Risiken in Vaultwarden auf. Sie untersuchten den Quellcode sowie die Netzwerkschnittstellen und Kommunikationsprotokolle des Programms. Die Schwachstellen ermöglichen unbefugten Zugriff auf Passwörter und vertrauliche Informationen.
BSI informiert Entwickler
Das BSI informierte die Entwickler von Vaultwarden sofort nach der Entdeckung. Diese konnten schnell reagieren und die nötigen Updates bereitstellen. Der „Responsible Disclosure“-Prozess hielt die Schwachstellen geheim, bis die Updates verfügbar waren. So hatten die Nutzer genug Zeit, ihre Software zu aktualisieren. Das BSI empfiehlt Nutzern, die neue Version von Vaultwarden umgehend zu installieren. Nur so sind ihre Daten vor möglichen Angriffen geschützt. Regelmäßige Sicherheitsupdates sind besonders wichtig für Programme, die sensible Informationen wie Passwörter verwalten. Das CAOS-Projekt, das seit 2021 läuft, bleibt auf die Verbesserung der Sicherheit von Open-Source-Software fokussiert. Ziel ist es, Schwachstellen frühzeitig zu erkennen und die Sicherheit der Nutzer zu erhöhen.
Genau deswegen trau ich keinem Passwort Manager, kommen die Daten in falsche Hände haben die Angreifer sämtliche Passwörter auf einmal…
Das ist ja totale Blödsinn meiner Meinung nach. Das selber kann dir mit jedem Browser passieren, der eine Sicherheitslücke hat. Ich nutze schon Jahre Bitwarden und hatte damit noch nie Probleme. Ich halte Passwort Manager wie Bitwarden auf jeden Fall für sicherer als deine Passwörter im Browser zu Speichern
Natürlich speicher ich meine wichtigen Passwörter (Bank etc.) auch nicht im Browser ab.
Gebe diese immer manuell ein. (Ich weiß das könnte ein Keylogger abgreifen).
Aber ich habe kein gutes Gefühl meine gesamten Passwörter in fremde Hände (Passwort Manager /Cloud) zu geben.
Wenn Hacker bzw Kriminelle Passwörter abgreifen wollen, ist solche Software dann ja die erste Adresse um irgendwie einen weg da rein zu finden und auf einen Schlag zig tausende Passwörter abzugreifen.
Ob so etwas gleich an die große Glocke gehängt werden würde ist auch fraglich.
Vlt denke ich da auch zu altmodisch und bin zu skeptisch.
Du unterscheidest hier aber nicht „self hostet“ mit Bitwardn an sich. Viele Manager bieten kein Self-Hosting an, da verstehe ich ihre Aussage – bei Self-Hosting aber nicht, gerade wenn es schnell gefunden und gefixed wird, wie in dem Fall jetzt.
Genau, wir reden hier von Self Hosted, die Datenbanken liegen auf dem eigenen Server. Und selbst bei bestehenden Lücken müsste erst einmal die Datenbank entschlüsselt werden, um an die Daten ran zu kommen. Welcher Hacker macht im privaten Bereich so einen Aufwand? Es dauert ewig lange, um so eine 256Bit Verschlüsselung zu hacken, und mit welchem Erfolg im privaten Bereich?! Nichts desto trotz, habe das Update für den Vaultwarden Server durchgeführt, auf meiner Diskstation. Danke für die Info hier.
Lies das paper…
Unter anderem wurde fehlende Schlüsselrotation bemängelt. Als Beispiel wird genannt: Wenn ein Unternehmen einen Mitarbeiter entlässt, diesen löscht, wurde der Schlüssel nicht rotiert und der entlassene Mitarbeiter hatte trotzdem weiterhin Zugriff.
@SoniX
Hast du mal die Stellen parat, wo genau dieses bemängelt wird?
Im Unternehmen würde man Vaultwarden wohl auch eher nicht einsetzen, da dort SSO fehlt – steht aber so im Wiki…
Nutzt man Bitwarden Enterprise, wird man wohl auch SSO via IDP anbieten – da kommt dann kein „ehemaliger“ Mitarbeiter mehr rein
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/P486-Codeanalyse/Vaultwarden-Passwortmanager.pdf?__blob=publicationFile&v=5
Seite 54 ff.
nützt dir trotzdem nix gegen nen Trojaner auf dem Rechner! Einmal Zugrif auf den PW Manager und alle deine PW sind futsch.
JA passiert dir auch ohne nur das dann nur die einzelnen PW die du benutzt hast bis du es bemerkst futsch sind.
PW haben auf dem Rechner nicht gespeichert zu sein egal wie.
ich nutze keepass ausschließlich als portable Version und sichere meine datenbank verschlüsselt (offline) immer auf meinem externen Datenträger.
gepostet mit der Deskmodder.de-App für Android