KIberschutz: erster Fall, Fixes sind released
Der erste KIberschutz-Fall ist durch: Wir meldeten dem Log-Tool logtide sechs Lücken, einen Tag später waren alle gefixt und veröffentlicht.
Transparenz vorweg: KIberschutz ist unser eigenes Projekt. Wir scannen mit KI-Unterstützung Open-Source-Software auf Sicherheitslücken und melden Funde verantwortungsvoll an die Maintainer. Vor ein paar Tagen haben wir hier beschrieben, wie KI Lücken schneller findet, als wir patchen, und am Ende geschrieben, wir warten noch auf die Fixes zum ersten Projekt. Die sind längst da. Zeit für die Bilanz.
Was passiert ist
Das erste Projekt war logtide, ein selbst gehostetes, DSGVO-freundliches Log-Management-Tool, gedacht als offene Alternative zu Datadog und ELK. Wir haben das Backend geprüft, sechs Funde bestätigt und sie privat an den Maintainer gemeldet, jeweils mit Erklärung und, wo möglich, einem fertigen Patch. Einen Tag später waren alle sechs gefixt und in Version 1.0.3 veröffentlicht.
Die sechs Funde
| Fund | Schwere | Kurz erklärt |
|---|---|---|
| Cross-Tenant-Lesezugriff auf Dashboard-APIs | hoch | Ein API-Key einer Organisation konnte Dashboard-Daten fremder Organisationen auslesen |
| Stored XSS über den OTLP-Servicenamen | hoch | Ein manipulierter Servicename führte Code im Browser aus, sobald jemand die Service-Map öffnete |
| Race beim ersten Admin | hoch | Parallele Registrierungen im Zeitfenster ohne Admin konnten alle zum Admin werden |
| Race bei Kapazitätslimits | mittel | Gleichzeitige Anfragen konnten ein konfiguriertes Limit überschreiten |
| SSRF-Guard ohne IP-Pinning | niedrig | Zwischen Prüfung und Verbindung war ein DNS-Rebinding möglich |
| Open Redirect auf Login und Register | niedrig | Ein ungeprüfter Redirect-Parameter im auth-freien Modus |
Drei Funde waren als hoch eingestuft. Für ein Tool, das viele Teams selbst hosten und in dem verschiedene Organisationen nebeneinander laufen, sind besonders der Cross-Tenant-Lesezugriff und das gespeicherte XSS unangenehm, weil beide die Grenze zwischen Mandanten oder zwischen Nutzern angreifen.
Wie der Maintainer reagiert hat
Schnell und sauber. Die Release-Notes zu 1.0.3 benennen jeden Punkt einzeln und schreiben die koordinierte Meldung offen KIberblick zu. Zwei zusätzliche Härtungen, die wir nur als Anregung mitgeschickt hatten, sind gleich mit eingeflossen: der Servicename wird jetzt schon bei der Ingestion bereinigt, und die PII-Maskierung greift auch für Trace-Spans, nicht mehr nur für Logs. Kein Datenbank-Umbau nötig, das Update ist ein Drop-in.
Warum das zählt
Die Sorge im letzten Artikel war, dass KI zwar immer schneller Lücken findet, das Patchen aber nicht mithält. Dieser Fall zeigt die gute Version der Geschichte: sorgfältig verifizierte Funde, ein privater Meldeweg mit fertigem Patch und ein Maintainer, der innerhalb eines Tages liefert. So hilft die neue Finde-Geschwindigkeit der Sicherheit, statt sie im Rauschen zu ertränken. Ein Projekt ist eine kleine Stichprobe, mehr behaupten wir nicht. Aber es ist ein guter Anfang.