Anzeige
Modsecurity: Sicherheitslücke in der Web Application Firewall
(Bild: Kacper Pempel/Reuters)

Modsecurity Sicherheitslücke in der Web Application Firewall

Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.

Anzeige

Die IT-Sicherheitsberatung Softscheck hat eine Sicherheitslücke in der Web Application Firewall (WAF) Modsecurity getestet. Das gab das Unternehmen des Informatikprofessors Hartmut Pohl am 18. September 2013 bekannt. Es war deshalb möglich, den Webserver durch HTTP-Anfragen mit XML-Inhalt über eine Denial-of-Service-Attacke außer Betrieb zu setzen.

Damit Sicherheitssoftware nicht selbst zum Sicherheitsproblem werde, solle sie regelmäßig und gezielt mit den bekannten Verfahren Threat Modeling, Static Source Code Analyse, Penetration Testing und Dynamic Analysis auf Sicherheitslücken hin untersucht werden, rät Pohl. Die Sicherheitslücke ist nicht aktuell und schon behoben. Veröffentlicht wurde sie offiziell am 25. April 2013 als CVE-2013-1915.

WAFs arbeiten mit Black- und Whitelists und filtern den HTTP-Transfer zwischen Server und Client. "Der Vorteil gegenüber herkömmlichen Firewalls ist, dass eine WAF nicht auf den unteren Netzwerkebenen filtert, sondern auf der Anwendungsschicht - Schicht 7 nach OSI-Modell", erklärte das Unternehmen. Herkömmliche Firewalls arbeiteten in der Regel auf Schicht 3 (Vermittlungsschicht) oder Schicht 4 (Transportschicht). Dadurch könnten sie ankommende Anfragen nach IP-Adressen oder Ports filtern. Eine WAF untersuche auch die Inhalte der ankommenden Pakete und könne so Angriffe wie SQL-Injections und Cross Site Scripting abwehren, die herkömmliche Firewalls nicht erkennen. Web Application Firewalls untersuchten ausschließlich HTTP-Pakete, um die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern.

Pohl leitet den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Die Informatikorganisation warnte im Juni 2013 wegen Prism und Tempora vor der trügerischen Sicherheit durch Virensuchprogramme, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systemen. Denn Sicherheitssoftware enthalte viele - nicht immer öffentlich bekannte - Sicherheitslücken, die von Angreifern ausgenutzt würden. Die Angriffstechnik 'Ausnutzung bisher unveröffentlichter Sicherheitslücken' beherrschten heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.


ewatch 19. Sep 2013

Ich vermute mal das Versionen 2.7.0 - 2.7.2 betroffen ist. Dieser Bug hört sich ganz...

Kommentieren



Anzeige

  1. Entwicklungsingenieur (m/w) Embedded Software für Luftfahrtanwendungen
    Diehl Aerospace GmbH, Rostock
  2. Software-Entwickler (m/w)
    PTA GmbH, verschiedene Standorte
  3. SAP-Administration (m/w) Finanzbuchhaltung
    Centrale Medien Dienste GmbH, Chemnitz
  4. Mitarbeiter (m/w) Implementierungsberatung
    ifb group, deutschlandweit

Detailsuche


Hardware-Angebote
  1. NEU: 6 Monate Netflix in Ultra HD geschenkt
    beim Kauf eines UHD-TVs von LG
  2. Microsoft Surface Book bestellen und bis zu 550 Euro Cashback erhalten
  3. Gehäuselüfter im Wert von bis zu 19,99 EUR gratis beim Kauf ausgewählter Fractal-Design-Gehäuse

Weitere Angebote


Folgen Sie uns
       


  1. 29.000 Datensätze veröffentlicht

    Persönliche Daten zahlreicher US-Agenten im Netz

  2. Container

    Docker wechselt Image-Basis von Ubuntu zu Alpine Linux

  3. Dice

    Höhere Tickraten für Battlefield 4

  4. Skylake

    Intel verbietet Overclocking bei non-K-CPUs

  5. Samsung

    Das nächste Galaxy Note soll nach Europa kommen

  6. Fischertechnik

    Der 3D-Drucker aus dem Baukasten

  7. Pagaré für Pebble

    Bezahlen mit dem Uhrarmband

  8. Apple

    Dritte Betaversion künftiger Betriebssysteme

  9. Bundesverkehrsminister

    Dobrindt pocht auf pünktliches WLAN-Rollout im ICE

  10. Flash-Player mit Malware

    Mac-Nutzer werden hereingelegt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Asus Strix Soar im Test: Wenn die Soundkarte vom Pixelbeschleuniger bespielt wird
Asus Strix Soar im Test
Wenn die Soundkarte vom Pixelbeschleuniger bespielt wird
  1. Geforce GT 710 Nvidias Einsteigerkarte soll APUs überflüssig machen
  2. Theremin Geistermusik mit dem Arduino
  3. Musikdienst Sonos soll ab Mitte Dezember Apple Music streamen können

Eizo Foris FS 2735 im Test: Beinahe der Wunschlos-glücklich-Monitor
Eizo Foris FS 2735 im Test
Beinahe der Wunschlos-glücklich-Monitor

Xcom 2 im Test: Strategie wie vom anderen Stern
Xcom 2 im Test
Strategie wie vom anderen Stern
  1. Vorschau Spielejahr 2016 Cowboys und Cyberspace
  2. Xcom 2 angespielt Mit Strategie die Menschheit retten

  1. Re: Reinste Ressourcenverschwendung

    Gl3b | 11:02

  2. Re: TV Sender schuld an diesem neuen Verhalten

    nicoledos | 10:59

  3. Re: Brauchen MB-Hersteller Lizenzen?

    oliver.n.h | 10:58

  4. Angriffsfläche verringern

    ccrow | 10:55

  5. TLSv1.2 für IMAP

    maximiliank | 10:55


  1. 10:57

  2. 10:39

  3. 10:16

  4. 10:13

  5. 10:07

  6. 07:56

  7. 07:42

  8. 07:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel