Modsecurity: Sicherheitslücke in der Web Application Firewall
(Bild: Kacper Pempel/Reuters)

Modsecurity Sicherheitslücke in der Web Application Firewall

Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.

Anzeige

Die IT-Sicherheitsberatung Softscheck hat eine Sicherheitslücke in der Web Application Firewall (WAF) Modsecurity getestet. Das gab das Unternehmen des Informatikprofessors Hartmut Pohl am 18. September 2013 bekannt. Es war deshalb möglich, den Webserver durch HTTP-Anfragen mit XML-Inhalt über eine Denial-of-Service-Attacke außer Betrieb zu setzen.

Damit Sicherheitssoftware nicht selbst zum Sicherheitsproblem werde, solle sie regelmäßig und gezielt mit den bekannten Verfahren Threat Modeling, Static Source Code Analyse, Penetration Testing und Dynamic Analysis auf Sicherheitslücken hin untersucht werden, rät Pohl. Die Sicherheitslücke ist nicht aktuell und schon behoben. Veröffentlicht wurde sie offiziell am 25. April 2013 als CVE-2013-1915.

WAFs arbeiten mit Black- und Whitelists und filtern den HTTP-Transfer zwischen Server und Client. "Der Vorteil gegenüber herkömmlichen Firewalls ist, dass eine WAF nicht auf den unteren Netzwerkebenen filtert, sondern auf der Anwendungsschicht - Schicht 7 nach OSI-Modell", erklärte das Unternehmen. Herkömmliche Firewalls arbeiteten in der Regel auf Schicht 3 (Vermittlungsschicht) oder Schicht 4 (Transportschicht). Dadurch könnten sie ankommende Anfragen nach IP-Adressen oder Ports filtern. Eine WAF untersuche auch die Inhalte der ankommenden Pakete und könne so Angriffe wie SQL-Injections und Cross Site Scripting abwehren, die herkömmliche Firewalls nicht erkennen. Web Application Firewalls untersuchten ausschließlich HTTP-Pakete, um die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern.

Pohl leitet den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Die Informatikorganisation warnte im Juni 2013 wegen Prism und Tempora vor der trügerischen Sicherheit durch Virensuchprogramme, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systemen. Denn Sicherheitssoftware enthalte viele - nicht immer öffentlich bekannte - Sicherheitslücken, die von Angreifern ausgenutzt würden. Die Angriffstechnik 'Ausnutzung bisher unveröffentlichter Sicherheitslücken' beherrschten heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.


ewatch 19. Sep 2013

Ich vermute mal das Versionen 2.7.0 - 2.7.2 betroffen ist. Dieser Bug hört sich ganz...

Kommentieren



Anzeige

  1. Spezialist/in für Web und technische Communities
    Bosch Connected Devices and Solutions GmbH, Reutlingen
  2. Berater IT-Architektur (m/w)
    Cassini AG, verschiedene Standorte
  3. PreSales Storage Consultant Service Provider (m/w)
    NetApp Deutschland GmbH, München, Stuttgart oder Hamburg
  4. Systemberater/in für Compliance Tools
    Robert Bosch GmbH, Stuttgart-Feuerbach

 

Detailsuche


Hardware-Angebote
  1. Evga Geforce GTX 960 SuperSC
    mit 20 Euro Cashback nur 194,90€ bezahlen
  2. Apple TV (3. Generation, 1080p)
    74,90€
  3. Turtle Beach Kopfhörer reduziert

 

Weitere Angebote


Folgen Sie uns
       


  1. Forschung

    Virtuelle Nase soll gegen Simulatorkrankheit helfen

  2. 3D-NAND

    Intels Flash-Chips verdreifachen den SSD-Speicherplatz

  3. NSA-Ausschuss

    DE-CIX erhebt schwere Vorwürfe wegen BND-Abhörung

  4. Mars

    Curiosity findet biologisch verwertbaren Stickstoff

  5. Benchmark

    Neue 3DMark-Szene testet API-Overhead

  6. Verschlüsselung

    RC4 erneut unter Beschuss

  7. Online-Speicherdienst

    Amazon Cloud Drive bietet unlimitierten Speicherplatz

  8. Netflix

    Bis 2020 überholt Streaming das klassische Fernsehen

  9. Codemasters

    F1 2015 fährt auf neuen Pneus

  10. Bitwhisper

    Abgehört per Fernwärme



Haben wir etwas übersehen?

E-Mail an news@golem.de



Galaxy S6 im Test: Lebe wohl, Kunststoff!
Galaxy S6 im Test
Lebe wohl, Kunststoff!
  1. Galaxy S6 Active Samsungs wasserdichtes Topsmartphone
  2. Galaxy S6 und S6 Edge Samsung meldet 20 Millionen Vorbestellungen
  3. Galaxy S6 und S6 Edge im Hands on Rund, schnell, teuer

Banana Pi M2 angesehen: Noch kein Raspberry-Pi-Killer
Banana Pi M2 angesehen
Noch kein Raspberry-Pi-Killer
  1. MIPS Creator CI20 angetestet Die Platine zum Pausemachen
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern

Gnome 3.16 angesehen: "Tod der Nachrichtenleiste"
Gnome 3.16 angesehen
"Tod der Nachrichtenleiste"
  1. Server-Technik Gnome erstellt App-Sandboxes
  2. Display-Server Volle Wayland-Unterstützung für Gnome noch dieses Jahr
  3. Linux Gnome-Werkzeug soll für bessere Akkulaufzeiten sorgen

  1. Re: Und wann gibt's das dann für Normalbürger?

    motzerator | 00:41

  2. Re: Gekauft, getestet, für mittelmäßig befunden

    heidegger | 00:38

  3. Re: Unser Herr Öttinger

    Tobias Claren | 00:36

  4. Re: Weit verbreitet

    motzerator | 00:34

  5. Re: selbst schuld

    Rulf | 00:27


  1. 20:06

  2. 18:58

  3. 18:54

  4. 18:21

  5. 17:58

  6. 17:52

  7. 17:25

  8. 17:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel