De recente ontdekking van een mogelijk serieus SSL-beveiligingslek in de populaire Linux-distributie Debian zou als een alarmbel moeten zijn voor de opensource-community, zeggen experts.

John Pascatore, vicepresident en onderscheiden analist bij onderzoeksbureau Gartner, roept opensource-ontwikkelaars en -uitgevers op om de communicatie onderling te verbeteren om de fout aan te pakken.

Het Sans-instituut gaf een geelalarm voor de fout in de door Debian gebundelde versie van OpenSSL, software voor het afhandelen van "Secure Sockets Layer" (SSL) verbindingen. SSL-verbindingen zijn cryptografisch beveiligde verbindingen met een server op het internet, een voorbeeld hiervan is de verbinding met je banksite. Het Debian-project heeft al een advies uitgegeven over het dichten van het lek.

"Dit lek, dat blijkbaar geïntroduceerd werd door de Debian-ontwikkelaars, niet door de OpenSSL-ontwikkelaars, geeft een risico weer van het gebruik van softwareproducten die opensource-modules gebruiken", zegt Pescatore.

In mei 2006 hebben de Debian-ontwikkelaars ervoor gekozen om een mogelijk geheugenlek in OpenSSL te patchen, dit heeft ervoor gezorgd dat het beveiligingslek in de Debian-versie van OpenSSL is geslopen.

Pescatore vindt dat de Debian-ontwikkelaars zo’n probleem aan de OpenSSL-ontwikkelaars had moeten overlaten. Als de mailinglist van OpenSSL wordt nagekeken hebben de Debian-ontwikkelaars wel contact gezocht, maar volgens Pescatore blijkt dat dit informele communicatieproces duidelijk inadequaat was in dit geval.

"Wij denken dat deze ervaring onze kijk op opensource-communicatie bevestigt en dat het grondige verbeteringen moet ondergaan", zei Prescatore. "In veel gevallen hebben distributeurs aanpassingen gemaakt aan opensource-pakketten zonder ook maar een poging tot communicatie met de upstream-ontwikkelaars. Deze methode zorgt voor een significante verhoging van het risico op nieuwe lekken en de mogelijkheid dat latere patches van het hoofdproject voor andere lekken problemen zullen vormen voor de door de distributeur aangepaste modules."