OpenBSD in aller Munde! (leider nicht gerade im positiven Sinne)

[SierraX]

Aber was ist passiert?
Die KI-Firma Anthropic hat am 07.04.2026 einen Blogartikel herausgebracht: Assessing Claude Mythos Preview’s cybersecurity capabilities
Dort wird vom Fund eines 27 Jahre alten Fehlers in der SACK-Implementierung berichtet, der unter Umständen OpenBSD aus der Ferne zum Absturz bringen könne.
Wahrscheinlich hat sich Anthropic ehrenhaft verhalten und das auch schon vor einiger Zeit an OpenBSD gemeldet. Seit dem 20.03.2026 existieren die Patches 031_sack für OpenBSD 7.7 und 025_sack für 7.8. Ich kann mir jetzt nicht vorstellen, dass man ein solches Stück Software aus einer reinen Laune zufällig drei Wochen vor einer solchen Enthüllung patcht.
Natürlich stürzen sich alle Tech-Journalisten und YouTuber jetzt nur auf die Schlagzeile: "27 Jahre alte Lücke in OpenBSD entdeckt". So wird bei einem aktuellen Heise-Video zum Beispiel stark verkürzt auf "Dazu gehört laut diesen Angaben eine jahrzehntealte Lücke im Betriebssystem OpenBSD, die unter bestimmten Umständen aus der Ferne ausgenutzt werden konnte", was schon mal viel dramatischer klingt, als es laut der Beschreibung auf der Webseite eigentlich war.

 

[vt9000]

Wenn man sich so umsieht was Anthropic Mythos wohl alles kann, verbunden mit der Einordnung als "zu gefährlich für die Öffentlichkeit", sehe ich 1 gefundenen Fehler eher als Kompliment an die gute Arbeit der OpenBSD Entwickler an.

Da wäre ein Vergleich mit unterschiedlichen OS eher interessant.

 

[stadtkind]

Auf Mastodon gabs einen guten Toot dazu:

so it cost anthropic $20k to find this openbsd crash bug which amounts to putting a negative integer in a tcp field where a negative integer was not expected by the c code which does some cavalier int cast bullshit, ie. a vuln which is totally fuzzable, and quite certainly would have been found by the fuzzers of the 2010s had anyone cared to burn that much compute on fuzzing openbsd.

The difference today is not that anybody suddenly cares about investing that much in openbsd (is the build server still a donated machine running in Theo's basement?), but that openbsd's reputation for security makes it really good marketing if you can find a bug, any bug, it doesn't matter; and that marketing value is what makes it worth spending $20k on fuzzing.

Hailey (@hailey@hails.org)

so it cost anthropic $20k to find this openbsd crash bug which amounts to putting a negative integer in a tcp field where a negative integer was not expected by the c code which does some cavalier int cast bullshit, ie. a vuln which is totally fuzzable, and quite certainly would have been found...

social.hails.org

 

[Yamagi]

Ich frage mich, ob Anthropics Gerede, dass Mythos viel zu gefährlich für die breite Öffentlichkeit wäre und daher auf (zahlungskräftige?) Firmen im Bereich IT-Sicherheit beschränkt bleibt, einfach nur Marketing ist, um einen Ruf aufzubauen und später abzukassieren, oder das Modell viel zu viel Energie durchbrennt, als das man es der breiten Öffentlichkeit zu einem sinnvollen Preis zu Verfügung stellen kann... Wenn es Ersteres ist, hat zumindest das gute BSI schon mal wunderschön angebissen. -_-

 

[SierraX]

Wenn man sich so umsieht was Anthropic Mythos wohl alles kann, verbunden mit der Einordnung als "zu gefährlich für die Öffentlichkeit", sehe ich 1 gefundenen Fehler eher als Kompliment an die gute Arbeit der OpenBSD Entwickler an.

Da wäre ein Vergleich mit unterschiedlichen OS eher interessant.

Gut es soll bei 1000 Runs (im Wert von etwa 20.000$) die kritischste Lücke von mehrere Duzend gewesen sein. Was deine Aussage sogar noch unterstreicht… von den durchschnittlichen Doom-Scrollern allerdings die wenigsten kapieren werden.
Leute wie die Mitglieder in diesem Forum werden das schon richtig einzuordnen wissen. Womöglich mehrere 100 Million Zeilen und über 30 Jahre gewachsener Code lässt sich halt wirklich nur noch mit BigData Mitteln wie KI auf solche Schwachstellen hin überprüfen.

Ein Vergleich zwischen unterschiedlichen OS wird es wohl kaum geben. Das einzige OS bei dem es für Aussenstehende interessant wäre, wird den Teufel tun und solche Überprüfungen unabhängig und öffentlich für sein OS zulassen. Ich nehme an, dass diese Firma genau die Zielgruppe des preview ist, weil die haben weiss Gott genug Geld um den Sourcecode mehrere 1000 male über Mythos zu jagen.

 

[SierraX]

Ich frage mich, ob Anthropics Gerede, dass Mythos viel zu gefährlich für die breite Öffentlichkeit wäre und daher auf (zahlungskräftige?) Firmen im Bereich IT-Sicherheit beschränkt bleibt, einfach nur Marketing ist, um einen Ruf aufzubauen und später abzukassieren, oder das Modell viel zu viel Energie durchbrennt, als das man es der breiten Öffentlichkeit zu einem sinnvollen Preis zu Verfügung stellen kann... Wenn es Ersteres ist, hat zumindest das gute BSI schon mal wunderschön angebissen. -_-

Gehe mal auch von ersterem aus… oder vielleicht auch beides. Von mehrere Duzend wird man wohl nur sprechen, bei 24 bis unter 100 Fehlern. Der eine Run in dem der "Kritischste Fehler" gefunden wurde Zoll unter 50 $ gekostet haben, der Durchschnitt der Runs müsste ja rein rechnerisch bei 20€ liegen… und bei einer Find/Run Ratio von unter 10% (also bei jedem 10ten durchlauf wird vielleicht ein Fehler gefunden?) dürfte das wohl kaum für jeden Entwickler für die final release Checks interessant sein.

Edit: Manchmal frag ich mich schon, ob beim BSI wirklich Informatiker drin sitzen die je eine Zeile Code gesehen oder geschrieben haben.

 

[pit234a]

wie auch immer, ist es doch gut, wenn Sicherheitslücken aufgetan und dann auch offen kommuniziert werden.

OpenBSD hat Eigenwerbung damit betrieben, durch besonders sauberen Code und Ablehnung auch nur geringfügig zweifelhafter Prozesse, besonders sicher zu sein. Das hat einen guten Grund.
Doch 100% sicher gibt es eben nie und wer davon nun überrascht ist und das negative Erwachen OpenBSD anlastet, ist auch nicht wirklich seriös, oder?

OpenBSD: wer nutzt denn ausschließlich OpenBSD?
Hat es nicht in der Vergangenheit immer wieder Angriffs-Vektoren von Dritt-SW gegeben?
Viel mehr, als von OpenBSD selbst, oder?


BSI:
Ich bin kein Informatiker und übertreibe nun ein wenig, wenn ich sage, dass ich IT sogar hasse. Sie ist aber ein notwendiges Übel für mich und da muss ich sagen, dass ich mich recht gut fühle, ein BSI zu haben und auch deren Warnungen stets ernst nehme, sofern ich diese mit bekomme, denn ich lese nicht regelmäßig dort.
Es ist aber deren Aufgabe, Warnungen zu generieren und das schon beim geringsten Anlass.
Wie ernst ich das als Verbraucher dann nehme, ist eine andere Sache und ich hätte nun genug Beispiele außerhalb der IT, wo Verbraucher gewarnt werden und Bundesämter eine gute Aufgabe machen, aber die Interpretation bei Presse und Politikern und leider auch bei vielen Verbrauchern durchaus unangebracht ist.
Eine generelle Schelte will ich hier einfach nicht gelten lassen.

 

[Yamagi]

wie auch immer, ist es doch gut, wenn Sicherheitslücken aufgetan und dann auch offen kommuniziert werden.

Ja, aber durch besseres Tooling auf Seiten der Guten und Bösen, sowie generell deutlich gestiegener Awareness ist es zur Binsenweisheit geworden, dass Software Fehler hat, einige davon sicherheitsrelevante Schwachstellen darstellen und man daher sehr regelmäßig patchen muss. Ich bin in einem Bereich, wo wir Sicherheit sehr, sehr ernst nehmen. Und wir schauen uns Schwachstellen nicht mehr wirklich an. Das ist mengenmäßig einfach so viel geworden, dass man nicht mehr einzeln bewerten kann. Außerdem sind die Probleme oft so komplex, dass eine seriöse Bewertung nicht mehr möglich ist. Der Grund, aus dem die Linux-Kernel-Entwickler fast nur CVSS-Score 10.0 vergeben. Sobald es Updates gibt, werden sie automatisiert eingespielt und Fall erledigt.

Schon daher ist dieses ganzes Sicherheitstheater einfach nur nervend:

• Lücke mit hohem CVSS-Score? Egal, CVSS ist eh so eine Sache und wurde schon automatisch gepatcht.
• BSI warnt vor einer ganz schlimmen Lücke? Verschwendet mein Steuergeld lieber sinnvoller, wurde schon vor Tagen bis Wochen automatisch gepatcht.
• Lücke hat einen tollen Namen, Logo und Webseite? Schön, aber wird sobald Updates vorhanden sind automatisch gepatcht.
• Kunde hat eine BSI-Meldung gelesen, von einer Schwachstelle mit Namen gehört, etc. und fragt nach? Kurze Antwort, dass automatisch gepatcht wurde.
• etc.

Darum riecht diese Sache auch ganz massiv nach Marketing. "Wir kloppen solange auf dem OpenBSD-Code rum, bis wir was gefunden haben und die Dumpfbacken da draußen werden glauben, dass unser neues Tools ganz toll und die beste Erfindung der der Drei-Felder-Wirtschaft ist!". Kurz gesagt nutzt man also OpenBSDs guten Ruf um sein Produkt an den Mann zu bringen. Ja, die OpenBSD-Lücke ist unschön. Aber sie auch nicht schlimmer als FreeBSDs mbuf-Leak vor ein paar Tagen. Und nicht so peinlich, wie der wohl schon seit Jahren bestehende 32-Bit Integer Überlauf, durch den MacOS TCP-Stack nach 49 Tagen abnippelt. Aber wie gesagt. Das sind nur drei von vielen, vielen, vielen sicherheitsrelevanten Fehlern. Wird automatisiert eingespielt und Fall erledigt.

Nachtrag: Und wenn Antrophic so ein angeblich extrem leistungsfähiges KI-Model gebaut hat, was auf Knopfsruck Schwachstellen finden kann, die anderen Tools verborgen blieben kann das potentiell auch jeder andere. Egal ob gut oder Böse. Tatsächlich sagen sie genau das in ihrer [Ankündigung](https://red.anthropic.com/2026/mythos-preview/) sogar halb direkt. Warum ist das Mac Studio mit 512 GB RAM wohl in kürzester Zeit ausverkauft und danach vermutlich durch durch die RAM-Krise bedingt von Apple vom Markt genommen worden, nachdem mit GLM 5 ein SOTA-Model für Coding und Code-Analyse als Open Weights erschienen ist? Mkay, das hat nun was von Verschwörungstheorie... Aber was ich sagen will ist, dass es in den letzten Jahren immer mehr ein Wettlauf geworden ist und man sich über Mythos u.ä. keine Gedanken machen sollte. Stattdessen wollte man seine Prozesse zum Umgang mit Schwachstellen ständige hinterfragen und verbessern oder, wenn man das bisher nicht gemacht hat, damit verdammt noch mal endlich anfangen.

 

[Azazyel]

Edit: Manchmal frag ich mich schon, ob beim BSI wirklich Informatiker drin sitzen die je eine Zeile Code gesehen oder geschrieben haben.

Das BSI ist - wie leider so viele deutsche Behörden - hauptsächlich mit der Selbstverwaltung beschäftigt.

Soweit man weiß jedenfalls, denn bereits die Informationslage ist mangelhaft: Dem BSI, das die Sicherheit der staatlichen Rechenzentren überprüft, fehlt es an Kontrolleuren. Für flächendeckende Aussagen hält das BSI 112 Prüfer-Stellen für erforderlich, der Stellenhaushalt hat ihm aber erst 20 zugewiesen. Nur drei davon kümmern sich um das gesamte Bundesgebiet. Dass manche Rechenzentren noch nicht einmal genug Treibstoff für die vorgeschriebene Notstromversorgung besitzen, ist daher nur die Spitze des Eisbergs. Wie viele der tragenden IT-Säulen marode sind, ist also nicht einmal völlig klar.
[...]
Denn ganze 77 Einrichtungen zählt der Bundesrechnungshof mittlerweile auf Bundesebene, die bei der IT-Sicherheit mitreden. Die verfügen aber weder über eine gemeinsame Datenbasis, noch kommunizieren sie überhaupt groß miteinander.

Wer eine Runde weinen möchte, kann sich dieses Wimmelbild der Zuständigkeiten und Abhängigkeiten der Behörden der Cybersicherheitsarchitektur Deutschlands anschauen.

Und wir schauen uns Schwachstellen nicht mehr wirklich an. Das ist mengenmäßig einfach so viel geworden, dass man nicht mehr einzeln bewerten kann. Außerdem sind die Probleme oft so komplex, dass eine seriöse Bewertung nicht mehr möglich ist. Der Grund, aus dem die Linux-Kernel-Entwickler fast nur CVSS-Score 10.0 vergeben. Sobald es Updates gibt, werden sie automatisiert eingespielt und Fall erledigt.

Die wohl einzig vernünftige Methode, heutzutage damit umzugehen.

Ein Ex-Kunde von mir mit eher althergebrachten Mindset (lange Uptimes statt kurze Patch-Reboot-Zyklen, selektives händisches Patchen mit manuellen Testzyklen statt Testautomatisierung) hat kürzlich auch sein mea culpa leisten müssen. Kundendaten sind im großen Maßstab abgeflossen, weil eine Woche zwischen Patch-Veröffentlichung und Einspielen der Patches halt heutzutage viel zu lang ist.

Darum riecht diese Sache auch ganz massiv nach Marketing.

Man darf nicht vergessen, dass alle AI-Startups gute Perspektiven bzw. Geschichten liefern müssen, egal ob die wahr sind oder nicht.

 

[peterle]

Ich fand das bei näherer Betrachtung eigentlich ganz lustig. Da suchen die sich einen Wolf und wenn sie dann NFS einschalten und Kerberos dazu, dann kann man OpenBSD crashen ohne einen root oder sonst einen Zugang zu kriegen.
Hat halt vermutlich nie einer gemacht und hat auch nie einen interessiert nehme ich mal an.

 

[pit234a]

Wer eine Runde weinen möchte, kann sich dieses Wimmelbild der Zuständigkeiten und Abhängigkeiten der Behörden der Cybersicherheitsarchitektur Deutschlands anschauen.

weinen musste ich nicht, doch einigermaßen entsetzt darüber staunen. Sehr interessant, mit der Maus über die Seite zu gehen und sich Verbindungen zeigen zu lassen.

 

[Kamikaze]

Ich wollte nur mal daran erinnern, nach meiner Lesart zumindest, ist das nur ein DOS. Es gibt keinen unbefugten Zugriff über die Lücke.

Das ist jetzt nichts schönes und bei kritischer Infrastruktur will man natürlich nicht, dass die einfach ohne Auth abgeschaltet werden kann. Trotzdem finde ich bei all dem Aufwand bemerkenswert, dass anscheinend keine einzige RCE Lücke gefunden wurde. Das ist schon ein beeindruckendes Zeugnis für OpenBSD.

Ich bin seit 20 Jahren aus dem Security Game raus aber ich bin echt beeindruckt.

 

[SierraX]

Ich wollte nur mal daran erinnern, nach meiner Lesart zumindest, ist das nur ein DOS. Es gibt keinen unbefugten Zugriff über die Lücke.

Das ist jetzt nichts schönes und bei kritischer Infrastruktur will man natürlich nicht, dass die einfach ohne Auth abgeschaltet werden kann. Trotzdem finde ich bei all dem Aufwand bemerkenswert, dass anscheinend keine einzige RCE Lücke gefunden wurde. Das ist schon ein beeindruckendes Zeugnis für OpenBSD.

Ich bin seit 20 Jahren aus dem Security Game raus aber ich bin echt beeindruckt.

Nicht nur nach deiner Lesart. Problematisch sehe ich eher, dass das von den Aussenstehenden so nicht weiter gegeben oder verstanden wird. Die sagen halt nur "27 Jahre alter Fehler gefunden" und sind hämisch dass sich ein Fehler länger unentdeckt blieb als die meisten der Berichtenden überhaupt am leben sind.