KIberschutz: erster Fall, Fixes sind released

Der erste KIberschutz-Fall ist durch: Wir meldeten dem Log-Tool logtide sechs Lücken, einen Tag später waren alle gefixt und veröffentlicht.

3 Min. Lesezeit

Transparenz vorweg: KIberschutz ist unser eigenes Projekt. Wir scannen mit KI-Unterstützung Open-Source-Software auf Sicherheitslücken und melden Funde verantwortungsvoll an die Maintainer. Vor ein paar Tagen haben wir hier beschrieben, wie KI Lücken schneller findet, als wir patchen, und am Ende geschrieben, wir warten noch auf die Fixes zum ersten Projekt. Die sind längst da. Zeit für die Bilanz.

Was passiert ist

Das erste Projekt war logtide, ein selbst gehostetes, DSGVO-freundliches Log-Management-Tool, gedacht als offene Alternative zu Datadog und ELK. Wir haben das Backend geprüft, sechs Funde bestätigt und sie privat an den Maintainer gemeldet, jeweils mit Erklärung und, wo möglich, einem fertigen Patch. Einen Tag später waren alle sechs gefixt und in Version 1.0.3 veröffentlicht.

Die sechs Funde

FundSchwereKurz erklärt
Cross-Tenant-Lesezugriff auf Dashboard-APIshochEin API-Key einer Organisation konnte Dashboard-Daten fremder Organisationen auslesen
Stored XSS über den OTLP-ServicenamenhochEin manipulierter Servicename führte Code im Browser aus, sobald jemand die Service-Map öffnete
Race beim ersten AdminhochParallele Registrierungen im Zeitfenster ohne Admin konnten alle zum Admin werden
Race bei KapazitätslimitsmittelGleichzeitige Anfragen konnten ein konfiguriertes Limit überschreiten
SSRF-Guard ohne IP-PinningniedrigZwischen Prüfung und Verbindung war ein DNS-Rebinding möglich
Open Redirect auf Login und RegisterniedrigEin ungeprüfter Redirect-Parameter im auth-freien Modus

Drei Funde waren als hoch eingestuft. Für ein Tool, das viele Teams selbst hosten und in dem verschiedene Organisationen nebeneinander laufen, sind besonders der Cross-Tenant-Lesezugriff und das gespeicherte XSS unangenehm, weil beide die Grenze zwischen Mandanten oder zwischen Nutzern angreifen.

Wie der Maintainer reagiert hat

Schnell und sauber. Die Release-Notes zu 1.0.3 benennen jeden Punkt einzeln und schreiben die koordinierte Meldung offen KIberblick zu. Zwei zusätzliche Härtungen, die wir nur als Anregung mitgeschickt hatten, sind gleich mit eingeflossen: der Servicename wird jetzt schon bei der Ingestion bereinigt, und die PII-Maskierung greift auch für Trace-Spans, nicht mehr nur für Logs. Kein Datenbank-Umbau nötig, das Update ist ein Drop-in.

Warum das zählt

Die Sorge im letzten Artikel war, dass KI zwar immer schneller Lücken findet, das Patchen aber nicht mithält. Dieser Fall zeigt die gute Version der Geschichte: sorgfältig verifizierte Funde, ein privater Meldeweg mit fertigem Patch und ein Maintainer, der innerhalb eines Tages liefert. So hilft die neue Finde-Geschwindigkeit der Sicherheit, statt sie im Rauschen zu ertränken. Ein Projekt ist eine kleine Stichprobe, mehr behaupten wir nicht. Aber es ist ein guter Anfang.

Quellen2