BSI findet Schwachstellen in Vaultwarden
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Passwort-Manager KeePass und Vaultwarden im Rahmen seines Projekts „Codeanalyse von Open Source Software“ (CAOS) auf ihre Sicherheitseigenschaften untersucht. Die Analyse ergab zwei Sicherheitslücken mit der Einstufung „Hoch“ bei Vaultwarden, der Self-Hosting-Variante von Bitwarden. Das BSI hat die Ergebnisse der Analyse mit den Entwicklern der beiden Programme geteilt und diese haben bereits auf die gefundenen Schwachstellen reagiert (wir berichteten bereits bei KeePass). Wer die aktuelle Version einsetzt, sollte also auf der sicheren Seite sein. Bei Vaultwarden sind die Schwachstellen seit Version 1.32.0 vom 11. August 2024 raus. Das Projekt CAOS zielt darauf ab, die Sicherheit von Open-Source-Software zu verbessern und das Vertrauen in diese Software zu stärken. Das BSI plant weitere Codeanalysen, um die Sicherheit von Open-Source-Software in Zukunft zu verbessern.
- Erhalte ein kostenloses "Redmi Pad Pro [6+128GB]", welches nach dem Kauf über die Aktionswebseite unter...
- Erhalte ein kostenloses "Redmi Pad Pro [6+128GB]", welches nach dem Kauf über die Aktionswebseite unter...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Vaultwarden hat doch mit Bitwarden nicht zu tun?
Bitwarden bietet auch selbst eine Self Host Lösung an.
So ist es.
Vaultwarden ist ein Bitwarden-Server -Clone geschrieben in Rust.
Andy Garcia und sein Team arbeiten sehr schnell und stetig an diesem Projekt. Gerade Bleck-Dex hat dort einen erheblichen Anteil an der Entwicklung der letzten Monate.
Vaultwarden ist meine präferierte Installationsvariante. Bitwarden Original ist einfach zu aufgebläht. Intern gibt es weitere Besonderheiten, die nicht unbedingt für Bitwarden sprechen. Bei der Finanzspritze und neuen Investoren vor einiger Zeit hätte ich gedacht, Bitwarden ist so schlau und kauft Vaultwarden auf. Letztendlich will Bitwarden das alte System jetzt auf den aktuellen Stand bringen. Fertig heißt es quasi Vaultwarden :).
Alle User, die ich supporte, setzen eh Watchtower ein und haben eh immer die aktuellste Version.
Trotzdem ist es schön, dass hier genauer hingeschaut wurde. Das wird aber immer ein Katz- & Maus-Spiel sein. Probleme entstehen auch erst, wenn der Tresor ins Internet freigegeben wird. Das kann man über ein VPN aber auch realisieren, sofern es familiär bleibt. Zusätzlich empfehle ich noch fail2ban, um DDoS vorzubeugen. Wem das zu kompliziert ist, kann auch gerne Alternativen von blocklist.de verwenden. Für die Synology gibt es ein Importscript von Stephan Geisler auf Github: https://github.com/geimist/Update_Blocklist.
Warum sollten die Vaultwarden aufkaufen? Sie haben mittlerweile selber auch Bitwarden Unified, eine simplifizierte Self-Hosting-Lösing via Vaultwarden.
Vaultwarden ist so erfolgreich, weil es die Pay-Features von Bitwarden auch ohne Subscription ermöglicht. Etwas was Investoren natürlich nicht gefallen kann. Aber Self-Hoster sind aber für Bitwarden eine Niche, das steckt nicht das Geld, Vaulwarden ist monetär irrelevant.
Mich wundert somit auch, dass das BSI hier Vaultwarden und nicht die offizielle Variante Bitwarden Unified unter die Lupe genommen hat – aber okay. Vaultwarden würde ich nur privat aber nie in einem Enterprise-Setup nutzen. Von heute auf morgen könnte Bitwarden ihre Client-Apps umstellen und Vaultwarden aussperren.