Modsecurity: Sicherheitslücke in der Web Application Firewall
(Bild: Kacper Pempel/Reuters)

Modsecurity Sicherheitslücke in der Web Application Firewall

Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.

Anzeige

Die IT-Sicherheitsberatung Softscheck hat eine Sicherheitslücke in der Web Application Firewall (WAF) Modsecurity getestet. Das gab das Unternehmen des Informatikprofessors Hartmut Pohl am 18. September 2013 bekannt. Es war deshalb möglich, den Webserver durch HTTP-Anfragen mit XML-Inhalt über eine Denial-of-Service-Attacke außer Betrieb zu setzen.

Damit Sicherheitssoftware nicht selbst zum Sicherheitsproblem werde, solle sie regelmäßig und gezielt mit den bekannten Verfahren Threat Modeling, Static Source Code Analyse, Penetration Testing und Dynamic Analysis auf Sicherheitslücken hin untersucht werden, rät Pohl. Die Sicherheitslücke ist nicht aktuell und schon behoben. Veröffentlicht wurde sie offiziell am 25. April 2013 als CVE-2013-1915.

WAFs arbeiten mit Black- und Whitelists und filtern den HTTP-Transfer zwischen Server und Client. "Der Vorteil gegenüber herkömmlichen Firewalls ist, dass eine WAF nicht auf den unteren Netzwerkebenen filtert, sondern auf der Anwendungsschicht - Schicht 7 nach OSI-Modell", erklärte das Unternehmen. Herkömmliche Firewalls arbeiteten in der Regel auf Schicht 3 (Vermittlungsschicht) oder Schicht 4 (Transportschicht). Dadurch könnten sie ankommende Anfragen nach IP-Adressen oder Ports filtern. Eine WAF untersuche auch die Inhalte der ankommenden Pakete und könne so Angriffe wie SQL-Injections und Cross Site Scripting abwehren, die herkömmliche Firewalls nicht erkennen. Web Application Firewalls untersuchten ausschließlich HTTP-Pakete, um die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern.

Pohl leitet den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Die Informatikorganisation warnte im Juni 2013 wegen Prism und Tempora vor der trügerischen Sicherheit durch Virensuchprogramme, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systemen. Denn Sicherheitssoftware enthalte viele - nicht immer öffentlich bekannte - Sicherheitslücken, die von Angreifern ausgenutzt würden. Die Angriffstechnik 'Ausnutzung bisher unveröffentlichter Sicherheitslücken' beherrschten heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.


ewatch 19. Sep 2013

Ich vermute mal das Versionen 2.7.0 - 2.7.2 betroffen ist. Dieser Bug hört sich ganz...

Kommentieren



Anzeige

  1. Software Integrator/-in
    Daimler AG, Sindelfingen
  2. Berater "Security & Compliance" (m/w)
    Detecon International GmbH, Köln, München, Eschborn
  3. Einkäufer/-in im Bereich IT - Beschaffung Car IT
    Daimler AG, Stuttgart
  4. Software-Entwickler/-in Kombiinstrumente
    Robert Bosch GmbH, Leonberg

Detailsuche


Blu-ray-Angebote
  1. NEU: Blu-rays je 9,97 EUR oder günstiger
    (u. a. Ghostbusters I & II Bundle 8,99€, From Beyond, Highlander, Road - TT - Sucht nach...
  2. NEU: Kingsman - The Secret Service [Blu-ray]
    11,99€
  3. VORBESTELLBAR: Star Wars: The Complete Saga (BD) [Blu-ray]
    89,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Firmenchef

    Voice over LTE bei der Telekom "kommt später"

  2. Magnetfeld

    Die Smartwatch sendet Daten durch den Körper

  3. Film-Codecs

    Amazon gibt 500 Millionen Dollar für Startup aus

  4. Direkt zur CIA

    BND soll deutsche Telefonate in die USA geroutet haben

  5. RT-AC5300

    Asus' Igel- Router soll der weltweit schnellste sein

  6. Streaming

    Netflix beginnt Anfang 2016 mit HDR

  7. Datenschutz

    Spotify bessert nach - ein bisschen

  8. Kopenhagen

    Elektro-Carsharing mit der Busfahrkarte

  9. The Witcher 3

    Romantik-Optimierung per Patch

  10. RSA-CRT

    RSA-Angriff aus dem Jahr 1996 wiederentdeckt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Digiskopie ausprobiert: Ich schau dir in die Augen, Wildes!
Digiskopie ausprobiert
Ich schau dir in die Augen, Wildes!
  1. Modulo Neue Kamera belichtet nie über
  2. Obstruction-Free Photography Algorithmus entfernt störende Elemente aus Fotos
  3. Flir One Hochauflösende Wärmebildkamera für iOS und Android

TempleOS im Test: Göttlicher Hardcore
TempleOS im Test
Göttlicher Hardcore
  1. Windows-10-Updates Microsoft intensiviert die Geheimniskrämerei
  2. Windows-Insider-Programm Chrome hat Probleme mit Windows 10 Build 10525
  3. Microsoft Erster Insider-Build seit dem Erscheinen von Windows 10

Windows 95 im Test: Endlich lange Dateinamen!
Windows 95 im Test
Endlich lange Dateinamen!
  1. Tool Microsoft Snip erzeugt Screenshots mit Animationen und Sprachmemos
  2. 20 Jahre im Einsatz Lebenserhaltende Maßnahmen bei Windows 95
  3. Vor dem Start von Windows 10 Steigender Marktanteil für Windows 7

  1. Re: *gähn* die Telekom...

    Ovaron | 07:41

  2. Re: Solange...

    gadthrawn | 07:39

  3. Re: Mal ausprobieren

    Ovaron | 07:34

  4. Re: Absoluter Overkill

    grünebanane | 07:33

  5. Re: Faxproblem wird auch komplett verschwiegen

    Youssarian | 07:33


  1. 19:42

  2. 18:31

  3. 18:05

  4. 17:38

  5. 17:34

  6. 16:54

  7. 15:15

  8. 14:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel