BSI findet Schwachstellen in Vaultwarden
von caschy | 11 Kommentare
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Passwort-Manager KeePass und Vaultwarden im Rahmen seines Projekts „Codeanalyse von Open Source Software“ (CAOS) auf ihre Sicherheitseigenschaften untersucht. Die Analyse ergab zwei Sicherheitslücken mit der Einstufung „Hoch“ bei Vaultwarden, der Self-Hosting-Variante von Bitwarden. Das BSI hat die Ergebnisse der Analyse mit den Entwicklern der beiden Programme geteilt und diese haben bereits auf die gefundenen Schwachstellen reagiert (wir berichteten bereits bei KeePass). Wer die aktuelle Version einsetzt, sollte also auf der sicheren Seite sein. Bei Vaultwarden sind die Schwachstellen seit Version 1.32.0 vom 11. August 2024 raus. Das Projekt CAOS zielt darauf ab, die Sicherheit von Open-Source-Software zu verbessern und das Vertrauen in diese Software zu stärken. Das BSI plant weitere Codeanalysen, um die Sicherheit von Open-Source-Software in Zukunft zu verbessern.
- Xiaomi AISP beinhaltet dank Xiaomi HyperOS die Rechenleistung von CPU, GPU, NPU und ISP.
- Der MediaTek Dimensity 8300-Ultra entfesselt Leistung, Effizienz und Intelligenz wie noch nie.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Vaultwarden hat doch mit Bitwarden nicht zu tun?
Bitwarden bietet auch selbst eine Self Host Lösung an.
So ist es.
Warum sollten die Vaultwarden aufkaufen? Sie haben mittlerweile selber auch Bitwarden Unified, eine simplifizierte Self-Hosting-Lösing via Vaultwarden.
Vaultwarden ist so erfolgreich, weil es die Pay-Features von Bitwarden auch ohne Subscription ermöglicht. Etwas was Investoren natürlich nicht gefallen kann. Aber Self-Hoster sind aber für Bitwarden eine Niche, das steckt nicht das Geld, Vaulwarden ist monetär irrelevant.
Mich wundert somit auch, dass das BSI hier Vaultwarden und nicht die offizielle Variante Bitwarden Unified unter die Lupe genommen hat – aber okay. Vaultwarden würde ich nur privat aber nie in einem Enterprise-Setup nutzen. Von heute auf morgen könnte Bitwarden ihre Client-Apps umstellen und Vaultwarden aussperren.
Wir haben in der Firma gerade ein Projekt mit Vaultwarden im Enterprise-Bereich, das Risiko, dass der Client in Zukunft nicht mehr kompatibel sein könnte wird aber akzeptiert, bzw. durch Redundanz abgemildert. Ein klassischer Passwort-Manager ist im Enterprise sowieso eher ein Nischenprodukt, da die Benutzer in der Regel Single Sign On machen, auch bei externen Diensten. Es gibt aber Bereiche wo das nicht möglich ist, z.B. in Produktions/Fertigungsumgebungen, da die Systeme oft schlicht zu alt sind. Pragmatische Lösung ist eine gemeinsam verwendete Datenbank in einem Passwort-Manager, sicherheitstechnisch ist das aber besonders organisatorisch ein Albtraum, auch in Audits sind shared Passwort-Datenbanken nicht gerade ein Pluspunkt :-).
Ich bin gespannt ob sich die Rechtevergabe für die Benutzer über AD-Gruppen wie geplant umsetzen lässt und wie das später skaliert.
Wir nutzen in der Firma eine kommerzielle Software als Passwordmanager und das ist eine Enterprise Lösung. So ein Nischenprodukt ist das nicht.
Welchen nutzt ihr denn?
Traurige Wahrheit: wir als Projektmitarbeiter würden gerne kleine OS Entwickler unterstützen, können es aber nicht. Den passenden Geschäftsprozess gibt es schlicht nicht und eine Zahlung an eine Gegenseite die kein offizieller Konzernlieferant ist, ist nicht möglich. Ich habe das schon versucht, bin immer gescheitert. Firmen mit Open-Source Geschäftsmodellen wie z.B. Red Hat sind kein Problem, kleine Entwickler: No Chance.
Wir haben zwar eine dedizierte Richtlinie für den Einsatz von Open Source im Unternehmen und in unseren Produkten, die bezieht sich aber ausschließlich auf lizenzrechtliche Bestimmungen. Da sitzen sogar extra Leute in der Rechtsabteilung die darauf spezialisiert sind das zu prüfen. Vergütungen dagegen sind nicht drin, auch keine Spenden, da die Empfänger dann z.B. ein gemeinnütziger Verein sein müssten.
Ich weiß nicht genau worauf sich der Satz „Wobei ich es schon eine Frechheit finde, eine freie Software kommerziell anzubieten.“ bezieht. Wir tun das in der Firma nicht, Vaultwarden wird ausschließlich intern genutzt.
Wenn open source in unseren Produkten genutzt wird, dann ausschließlich, wenn die entsprechende Lizenz es erlaubt. Da ist man sehr penibel, auch weil das auf unsere Kunden zurückfallen würde, wir produzieren nichts für den Endkundenmarkt.
Doch, mein Chef oder ich selbst könnten das Geld locker machen – wenn auf der Empfängerseite eine Firma stände, die alle Lieferantenprüfungen durchlaufen hätte und freigegeben wäre. Ich vermute Du hast noch nie in einem Konzern gearbeitet. Du bekommst eher eine Million für irgendein Bullshit-Projekt in dem alle Prozesse korrekt eingehalten werden, als auch nur zwanzig Euro für irgendetwas wofür es keine Prozesse gibt. Sowas wie eine Kaffeekasse gibt es nicht.
Der Kommentar war wohl eher auf den Satz „… bei Vaultwarden, der Self-Hosting-Variante von Bitwarden“ bezogen, was so geschrieben den Eindruck erweckt, als wäre Vaultwarden die offizielle Bitwarden self-hosting Lösung. Das stimmt halt nicht, genau wie von Webb geschrieben. Dabei spielt es zunächst mal keine Rolle ob Vaultwarden schlanker ist oder nicht.
Vaultwarden ist eine alternative in rust geschriebene Implementierung des Bitwarden servers und hat in keiner Weise was direkt mit Bitwarden zu tun.
Vaultwarden stellt die Funktionalität von Bitwarden Premium bereit, die sonst unter eine kostenpflichtige Lizenz fallen. Für kleinere Unternehmen/Teams ist das mit entsprechendem Know-How eine gute Option. Allein Funktionen wie TOTP und Device Sync gibts nicht free im Selfhosting. Da Bitwarden Open-Source ist und die commits darin gemerged werden, würde ich es eher als bereinigte Version beschreiben