Kontroverse um WireGuard in pfSense

WireGuard aus pfSense entfernt
Bild: WireGuard | Quelle: XDA-Developers

Im Januar war die moderne VPN-Tunnel-Software WireGuard für die auf FreeBSD aufsetzende Firewall-Distribution pfSense als technische Vorschau und im Februar stabil freigegeben worden. Bereits vorher wurde der bei Ansatz in den Kernel von FreeBSD aufgenommen. Nachdem WireGuard-Entwickler Jason Donenfeld die beim FreeBSD-Sponsor Netgate entwickelte Implementierung wegen schlechter Qualität und fehlender Kommunikation harsch kritisierte und die Implementierung völlig überarbeitete, gab Netgate jetzt die vorläufige Entfernung von WireGuard aus der Firewall bekannt. Liest man die Kritik in Bezug auf den Code, war die Entfernung wohl der einzig richtige Schritt.

There were random sleeps added to “fix” race conditions, validation
functions that just returned true, catastrophic cryptographic
vulnerabilities, whole parts of the protocol unimplemented, kernel
panics, security bypasses, overflows, random printf statements deep in
crypto code, the most spectacular buffer overflows, and the whole litany
of awful things that go wrong when people aren’t careful when they write
C.

Jason A. Donenfeld

Keine Einsicht

Dem vorausgegangen war ein Blogeintrag, in dem ein pfSense-Entwickler die Art und Weise kritisierte, wie die Community die Überholung des Codes kommuniziert und durchgeführt habe. Ließ der Titel »Painful Lessons Learned in Security and Community« noch auf Einsicht hoffen, das man hier mit Zusammenarbeit und Kommunikation ein besseres Ergebnis hätte erzielen können, ging der Text in die entgegengesetzte Richtung. Der für pfSense verantwortliche Blog-Autor Jason Long titulierte Kritiker als Angreifer und unterstellte gar unlautere Motive. Er erwähnte mit keinem Wort, dass Netgate die schlechte Qualität des Codes zu verantworten hat, was wiederum die Kritik im Netz weiter anheizte.

Spätere Wiederaufnahme

In der gestrigen Ankündigung zur Entfernung von WireGuard aus der Firewall-Distribution erklärte das Unternehmen, man werde die Entwicklung bei der erneuten Integration bei FreeBSD beobachten und eine Wiedereinführung in pfSense neu bewerten. Die Entwickler von FreeBSD werden den Code aufgrund der gravierenden Fehler der Vorversion vermutlich nicht in die anstehende Veröffentlichung von FreeBSD 13.0 übernehmen, sondern eher in Version 13.1. Dann kann man laut Donenfeld auch über Backports für 13.0 und 12.x nachdenken.

5 2 votes
Article Rating

Verwandte Themen

5 2 votes
Article Rating
Abonnieren
Benachrichtige mich bei
3 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments