Sandstorm wird nach Security-Review sicherer

03.03.2017

Das Sandstorm-Projekt wurde einer Security-Review unterzogen und hat die gefundenen Lücken geschlossen.

Die Firma DevCore hat im Auftrag des taiwanesischen Department of Cyber Security die Sandstorm-Plattform einer Security-Review unterzogen. Unterm Strich bescheinigt die taiwanesische Digitalministerin Audrey Tang dem Projekt ein "exzellentes Security-Design". Die wenigen gefundenen Sicherheitsmängel wurden im eben veröffentlichten Build 0.203 von Sandstorm gefixt.
Im einzelnen sind dies eine mangelhafte Validierung von E-Mail-Adressen, ungenügende Pfad-Überprüfung beim Anfertigen von Zip-Backups und mögliche Server-side request forgery. Darüber hinaus ist in dem aktuellen Release ein Bugfix für die kürzlich bekannt gewordene Linux-Lücke im Zusammenhang mit dem DCCP-Protokoll enthalten.
Sandstorm wurde erst kürzlich komplett als Open Source veröffentlicht, weil das dahinter stehende Unternehmen seinen Betrieb mangels kommerziellem Erfolg eingestellt hat. Sandstorm ist eine Plattform für webbasierte Anwendungen wie  Git-Server, CMSs, Wikis und Webmailer. Sandstorm-Anwendungen sind in einem eigenen App-Market gesammelt. Die notorisch unsicheren Webapps werden mit Sandstorm in einer abgesicherten Umgebung betrieben.

Nach der Schließung wurden die bisher Firmenkunden vorbehaltenen Komponenten wie die LDAP-Anbindung und das SAML-SSO-Modul unter einer freien Lizenz veröffentlicht. Auch das Sandstorm-Backend Blackrock, das einen Cluster-Modus unterstützt, ist jetzt frei verfügbar.

comments powered by Disqus

Artikel der Woche

Zertifikatsmanagement mit Certmonger

Zertifikate werden dazu verwendet, um Benutzer, Services und Hardware mit der Hilfe eines signierten Schlüssels zu verifizieren. Hierfür existieren Public-Key-Infrastrukturen (PKI). Aber wie gelangen die Zertifikate eigentlich auf das Ziel-Gerät? Der Open-Source-Tipp in diesem Monat beschreibt, wie Sie für diese Aufgabe das Tool certmonger verwenden können. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Distro

Welche Linux-Distribution setzen Sie vorwiegend auf dem Server ein?

  • Arch Linux
  • CentOS
  • Debian
  • Fedora
  • openSUSE
  • Oracle Linux
  • Red Hat Enterprise Linux
  • SUSE Linux Enterprise Server
  • Ubuntu
  • andere Linux-Distribution
  • FreeBSD
  • OpenBSD

Google+

Ausgabe /2017

Microsite