Sandstorm wird nach Security-Review sicherer

03.03.2017

Das Sandstorm-Projekt wurde einer Security-Review unterzogen und hat die gefundenen Lücken geschlossen.

Die Firma DevCore hat im Auftrag des taiwanesischen Department of Cyber Security die Sandstorm-Plattform einer Security-Review unterzogen. Unterm Strich bescheinigt die taiwanesische Digitalministerin Audrey Tang dem Projekt ein "exzellentes Security-Design". Die wenigen gefundenen Sicherheitsmängel wurden im eben veröffentlichten Build 0.203 von Sandstorm gefixt.
Im einzelnen sind dies eine mangelhafte Validierung von E-Mail-Adressen, ungenügende Pfad-Überprüfung beim Anfertigen von Zip-Backups und mögliche Server-side request forgery. Darüber hinaus ist in dem aktuellen Release ein Bugfix für die kürzlich bekannt gewordene Linux-Lücke im Zusammenhang mit dem DCCP-Protokoll enthalten.
Sandstorm wurde erst kürzlich komplett als Open Source veröffentlicht, weil das dahinter stehende Unternehmen seinen Betrieb mangels kommerziellem Erfolg eingestellt hat. Sandstorm ist eine Plattform für webbasierte Anwendungen wie  Git-Server, CMSs, Wikis und Webmailer. Sandstorm-Anwendungen sind in einem eigenen App-Market gesammelt. Die notorisch unsicheren Webapps werden mit Sandstorm in einer abgesicherten Umgebung betrieben.

Nach der Schließung wurden die bisher Firmenkunden vorbehaltenen Komponenten wie die LDAP-Anbindung und das SAML-SSO-Modul unter einer freien Lizenz veröffentlicht. Auch das Sandstorm-Backend Blackrock, das einen Cluster-Modus unterstützt, ist jetzt frei verfügbar.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sandstorm startet Business-Angebot

Die Server-Plattform Sandstorm hat ein Beta-Angebot gestartet, das die Integration in Firmenumgebungen vereinfacht.

Artikel der Woche

Systeme mit Vamigru verwalten

Auch wer nur kleine Flotten von Linux-Servern verwaltet, freut sich über Werkzeuge, die ihm diese Arbeit erleichtern. Vamigru tritt mit diesem Versprechen an. Wir verraten, was es leistet und wie Sie es in der eigenen Umgebung in Betrieb nehmen. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite