BSI findet schwerwiegende Schwachstellen in Vaultwarden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen des Projekts „Codeanalyse von Open Source Software“ (CAOS 3.0) die Passwort-Manager KeePass und Vaultwarden auf Sicherheitslücken untersucht.

Dabei wurden in Vaultwarden zwei schwerwiegende Schwachstellen mit dem Schweregrad „hoch“ entdeckt. Die Untersuchung wurde in Zusammenarbeit mit der mgm security partners GmbH durchgeführt und umfasste eine umfassende Analyse des Quellcodes, dynamische Tests sowie eine Überprüfung der Netzwerkschnittstellen und Protokolle. Die gefundenen Sicherheitslücken wurden den Entwicklern im Rahmen des Responsible Disclosure Prozesses mitgeteilt, um ihnen Zeit zur Behebung zu geben.

Das Projekt CAOS wurde 2021 vom BSI in Zusammenarbeit mit der mgm security partners GmbH ins Leben gerufen, um die Sicherheit von Open Source Software durch gezielte Schwachstellenanalyse zu verbessern.  Für die Zukunft plant das BSI, das Projekt fortzuführen und weitere Analysen durchzuführen, um die Sicherheit von Open Source Software weiter zu erhöhen.