Operation Rosehub
Google behebt Bug in Open-Source-Projekten

© mast3r – Fotolia

Jede Soft­ware hat Bugs, lautet eine alte Pro­grammierer­weisheit. Das gilt auch für Open-Source-Pro­gramme. Die Apache Commons Collections De­serialization Vulnerability, auch bekannt als Mad Gadget Bug, ist eine be­sonders schwere Sicherheits­lücke in den Gadget-Klassen der Apache Commons Collections, die den Java-Unter­bau für etliche Open-Source-Projekte bilden. Der Bug wurde beispiels­weise im ver­gangenen Novem­ber von einem Hacker aus­genutzt, um die Verkehrs­betriebe von San Francisco zu erpressen.

Laut einem Eintrag im Open-Source-Blog von Google entdeckte eine Mitarbeiterin des Unternehmens im vergangenen Jahr, dass zahlreiche Projekte auf GitHub diese Sicherheitslücke aufwiesen, obwohl bereits seit längerem ein Patch zur Verfügung stand. Zunächst versuchte sie, mit einem Pull Request die Verantwortlichen zum Schließen der Lücke zu bewegen, aber das scheiterte. Also schrieb ein Team bei Google eine SQL-Abfrage und durchsuchte mit Googles Data Warehouse BigQuery den gesamten auf GitHub veröffentlichten Code. Das Ergebnis waren rund 2600 Projekte, die von dem Fehler betroffen waren. Insgesamt 50 Google-Mitarbeiter investierten daraufhin die 20 % Arbeitszeit, die ihnen laut den Richtlinien des Unternehmens für eigene Projekte zustehen, in eine manuelle Korrektur des betroffenen Codes. In mehreren Monaten Arbeit sind nun sämtliche GitHub-Projekte von der Sicherheitslücke bereinigt worden.

Veröffentlicht am