BSI findet Schwachstellen in Vaultwarden
von caschy | 16 Kommentare
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Passwort-Manager KeePass und Vaultwarden im Rahmen seines Projekts „Codeanalyse von Open Source Software“ (CAOS) auf ihre Sicherheitseigenschaften untersucht. Die Analyse ergab zwei Sicherheitslücken mit der Einstufung „Hoch“ bei Vaultwarden, der Self-Hosting-Variante von Bitwarden. Das BSI hat die Ergebnisse der Analyse mit den Entwicklern der beiden Programme geteilt und diese haben bereits auf die gefundenen Schwachstellen reagiert (wir berichteten bereits bei KeePass). Wer die aktuelle Version einsetzt, sollte also auf der sicheren Seite sein. Bei Vaultwarden sind die Schwachstellen seit Version 1.32.0 vom 11. August 2024 raus. Das Projekt CAOS zielt darauf ab, die Sicherheit von Open-Source-Software zu verbessern und das Vertrauen in diese Software zu stärken. Das BSI plant weitere Codeanalysen, um die Sicherheit von Open-Source-Software in Zukunft zu verbessern.
- Xiaomi AISP beinhaltet dank Xiaomi HyperOS die Rechenleistung von CPU, GPU, NPU und ISP.
- Erhalte ein kostenloses "Redmi Pad Pro [6+128GB]", welches nach dem Kauf über die Aktionswebseite unter...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Vaultwarden hat doch mit Bitwarden nicht zu tun?
Bitwarden bietet auch selbst eine Self Host Lösung an.
So ist es.
Vaultwarden ist ein Bitwarden-Server -Clone geschrieben in Rust.
Andy Garcia und sein Team arbeiten sehr schnell und stetig an diesem Projekt. Gerade Bleck-Dex hat dort einen erheblichen Anteil an der Entwicklung der letzten Monate.
Vaultwarden ist meine präferierte Installationsvariante. Bitwarden Original ist einfach zu aufgebläht. Intern gibt es weitere Besonderheiten, die nicht unbedingt für Bitwarden sprechen. Bei der Finanzspritze und neuen Investoren vor einiger Zeit hätte ich gedacht, Bitwarden ist so schlau und kauft Vaultwarden auf. Letztendlich will Bitwarden das alte System jetzt auf den aktuellen Stand bringen. Fertig heißt es quasi Vaultwarden :).
Alle User, die ich supporte, setzen eh Watchtower ein und haben eh immer die aktuellste Version.
Trotzdem ist es schön, dass hier genauer hingeschaut wurde. Das wird aber immer ein Katz- & Maus-Spiel sein. Probleme entstehen auch erst, wenn der Tresor ins Internet freigegeben wird. Das kann man über ein VPN aber auch realisieren, sofern es familiär bleibt. Zusätzlich empfehle ich noch fail2ban, um DDoS vorzubeugen. Wem das zu kompliziert ist, kann auch gerne Alternativen von blocklist.de verwenden. Für die Synology gibt es ein Importscript von Stephan Geisler auf Github: https://github.com/geimist/Update_Blocklist.
Warum sollten die Vaultwarden aufkaufen? Sie haben mittlerweile selber auch Bitwarden Unified, eine simplifizierte Self-Hosting-Lösing via Vaultwarden.
Vaultwarden ist so erfolgreich, weil es die Pay-Features von Bitwarden auch ohne Subscription ermöglicht. Etwas was Investoren natürlich nicht gefallen kann. Aber Self-Hoster sind aber für Bitwarden eine Niche, das steckt nicht das Geld, Vaulwarden ist monetär irrelevant.
Mich wundert somit auch, dass das BSI hier Vaultwarden und nicht die offizielle Variante Bitwarden Unified unter die Lupe genommen hat – aber okay. Vaultwarden würde ich nur privat aber nie in einem Enterprise-Setup nutzen. Von heute auf morgen könnte Bitwarden ihre Client-Apps umstellen und Vaultwarden aussperren.
Hast du dich einmal mit der Software und der Programmierung dahinter befasst?
Bis zur Finanzspritze war das eher ein Bastelprojekt, das nicht unbedingt vertrauenswürdig aufgebaut war. Seit dem Millioneneingang hat Bitwarden angefangen, das System umzuarbeiten und es zu aktualisieren. Nach all der Zeit sind sie aber auch nicht wesentlich weiter gekommen.
Eine fertige Alternative in Rust gab es ja bereits. Auch der Code ist öffentlich. Rust zählt zu einer sehr modern und jungen Programmiersprache und hat nicht mit dem aufgeblähten und alten System wie bei Bitwarden (.NET) zu tun. Das selber hosten ist für einen unerfahrenen User nicht ganz so einfach, weil mehrere Container (alte Version) notwendig sind und Unify noch beta. Auch ist Bitwarden gegenüber Vaultwarden nicht ganz so performant, was aber einfach an der Programmierung liegt. Die kostenlosen Premiumfeatures sehe ich da nicht unbedingt als Grund der größeren Verbreitung. Du unterstellst damit, dass die User einfach zu geizig sind und deshalb nicht den originalen Service nutzen.
Bitwarden braucht in meinen Augen noch einige Zeit, um sich von seinen Altlasten zu befreien. Ob ich dann eine originale Instanz hosten würde, kann ich nicht einmal beantworten. Wenn Bitwarden die Client-API einschränkt, wird sich auch eine Alternative finden lassen. Letztendlich kann das aber auch zum Bumerang werden. Open Source lebt aber von Geben und Nehmen.
Ich sehe keinen Grund Vaultwarden nicht einzusetzen. Dass die vom BSI entdeckten Fehler schnell gefixt wurden, ist typisch für Vaultwarden. Ob das auch so schnell bei Bitwarden wäre, haben wir ja leider nicht herausfinden können, wäre aber interessant gewesen.
Wir haben in der Firma gerade ein Projekt mit Vaultwarden im Enterprise-Bereich, das Risiko, dass der Client in Zukunft nicht mehr kompatibel sein könnte wird aber akzeptiert, bzw. durch Redundanz abgemildert. Ein klassischer Passwort-Manager ist im Enterprise sowieso eher ein Nischenprodukt, da die Benutzer in der Regel Single Sign On machen, auch bei externen Diensten. Es gibt aber Bereiche wo das nicht möglich ist, z.B. in Produktions/Fertigungsumgebungen, da die Systeme oft schlicht zu alt sind. Pragmatische Lösung ist eine gemeinsam verwendete Datenbank in einem Passwort-Manager, sicherheitstechnisch ist das aber besonders organisatorisch ein Albtraum, auch in Audits sind shared Passwort-Datenbanken nicht gerade ein Pluspunkt :-).
Ich bin gespannt ob sich die Rechtevergabe für die Benutzer über AD-Gruppen wie geplant umsetzen lässt und wie das später skaliert.
Wir nutzen in der Firma eine kommerzielle Software als Passwordmanager und das ist eine Enterprise Lösung. So ein Nischenprodukt ist das nicht.
Welchen nutzt ihr denn?
Ich hoffe, dass dieses Enterprise-Projekt auch die Entwickler unterstützt. Das sichert die Weiterentwicklung und den Support. Das gilt natürlich für alle Open-Source-Projekte. Gerade zum Ende des Jahres bzw. zur Weihnachtszeit ist es eine gute Möglichkeit, sich bei den Entwicklern für den langen Support zu bedanken. Dabei kommt es noch nicht einmal auf die Höhe des Beitrags an, sondern auf die Unterstützung und Wertschätzung.
Traurige Wahrheit: wir als Projektmitarbeiter würden gerne kleine OS Entwickler unterstützen, können es aber nicht. Den passenden Geschäftsprozess gibt es schlicht nicht und eine Zahlung an eine Gegenseite die kein offizieller Konzernlieferant ist, ist nicht möglich. Ich habe das schon versucht, bin immer gescheitert. Firmen mit Open-Source Geschäftsmodellen wie z.B. Red Hat sind kein Problem, kleine Entwickler: No Chance.
Wir haben zwar eine dedizierte Richtlinie für den Einsatz von Open Source im Unternehmen und in unseren Produkten, die bezieht sich aber ausschließlich auf lizenzrechtliche Bestimmungen. Da sitzen sogar extra Leute in der Rechtsabteilung die darauf spezialisiert sind das zu prüfen. Vergütungen dagegen sind nicht drin, auch keine Spenden, da die Empfänger dann z.B. ein gemeinnütziger Verein sein müssten.
Dann muss sich das Unternehmen auch nachher nicht beschweren.
Wobei ich es schon eine Frechheit finde, eine freie Software kommerziell anzubieten. Dort sollte das Lizenzmodell noch einmal überdacht, gebunden und mehr verfolgt werden. Bei Privatusern mag das noch eine Sache sein, gewerblicher und kommerzieller Einsatz geht gar nicht. Bei solchen Aussagen bekomme ich einen dicken Hals.
Auch ist eine Spende, eine Spende. Unabhängig davon, ob es ein gemeinnütziger Verein ist oder nicht. Spenden an Vereine ist doch auch wieder so ein Beschiss und dient nur dazu, diese Spende wieder steuerlich abzusetzen. Somit ist der Sinn in meinen Augen nicht mehr da, einem etwas Gutes zu tun. Somit dient es nur wieder dem Selbstzweck.
Ich weiß nicht genau worauf sich der Satz „Wobei ich es schon eine Frechheit finde, eine freie Software kommerziell anzubieten.“ bezieht. Wir tun das in der Firma nicht, Vaultwarden wird ausschließlich intern genutzt.
Wenn open source in unseren Produkten genutzt wird, dann ausschließlich, wenn die entsprechende Lizenz es erlaubt. Da ist man sehr penibel, auch weil das auf unsere Kunden zurückfallen würde, wir produzieren nichts für den Endkundenmarkt.
Und dann kein dein Chef noch nicht einmal einen 100er oder 1000er (je nach Umsatz oder Gewinn) zu Weihnachten locker machen?
Wenn man es schon von der Buchhaltung nicht verbuchen kann, was ich aber nicht verstehe, muss ein anderer Weg gefunden werden. Dann kann dein Chef das Portemonnaie einmal direkt aufmachen! Oder wird das von seiner Frau verwaltet, verbucht sowie belastet und rechnet die Buchhaltung das nach? Wo ein Wille ist, ist immer ein Weg. Das braucht mir keiner zu erzählen.
Doch, mein Chef oder ich selbst könnten das Geld locker machen – wenn auf der Empfängerseite eine Firma stände, die alle Lieferantenprüfungen durchlaufen hätte und freigegeben wäre. Ich vermute Du hast noch nie in einem Konzern gearbeitet. Du bekommst eher eine Million für irgendein Bullshit-Projekt in dem alle Prozesse korrekt eingehalten werden, als auch nur zwanzig Euro für irgendetwas wofür es keine Prozesse gibt. Sowas wie eine Kaffeekasse gibt es nicht.
Der Kommentar war wohl eher auf den Satz „… bei Vaultwarden, der Self-Hosting-Variante von Bitwarden“ bezogen, was so geschrieben den Eindruck erweckt, als wäre Vaultwarden die offizielle Bitwarden self-hosting Lösung. Das stimmt halt nicht, genau wie von Webb geschrieben. Dabei spielt es zunächst mal keine Rolle ob Vaultwarden schlanker ist oder nicht.
Vaultwarden ist eine alternative in rust geschriebene Implementierung des Bitwarden servers und hat in keiner Weise was direkt mit Bitwarden zu tun.
Vaultwarden stellt die Funktionalität von Bitwarden Premium bereit, die sonst unter eine kostenpflichtige Lizenz fallen. Für kleinere Unternehmen/Teams ist das mit entsprechendem Know-How eine gute Option. Allein Funktionen wie TOTP und Device Sync gibts nicht free im Selfhosting. Da Bitwarden Open-Source ist und die commits darin gemerged werden, würde ich es eher als bereinigte Version beschreiben