Modsecurity: Sicherheitslücke in der Web Application Firewall
(Bild: Kacper Pempel/Reuters)

Modsecurity Sicherheitslücke in der Web Application Firewall

Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.

Anzeige

Die IT-Sicherheitsberatung Softscheck hat eine Sicherheitslücke in der Web Application Firewall (WAF) Modsecurity getestet. Das gab das Unternehmen des Informatikprofessors Hartmut Pohl am 18. September 2013 bekannt. Es war deshalb möglich, den Webserver durch HTTP-Anfragen mit XML-Inhalt über eine Denial-of-Service-Attacke außer Betrieb zu setzen.

Damit Sicherheitssoftware nicht selbst zum Sicherheitsproblem werde, solle sie regelmäßig und gezielt mit den bekannten Verfahren Threat Modeling, Static Source Code Analyse, Penetration Testing und Dynamic Analysis auf Sicherheitslücken hin untersucht werden, rät Pohl. Die Sicherheitslücke ist nicht aktuell und schon behoben. Veröffentlicht wurde sie offiziell am 25. April 2013 als CVE-2013-1915.

WAFs arbeiten mit Black- und Whitelists und filtern den HTTP-Transfer zwischen Server und Client. "Der Vorteil gegenüber herkömmlichen Firewalls ist, dass eine WAF nicht auf den unteren Netzwerkebenen filtert, sondern auf der Anwendungsschicht - Schicht 7 nach OSI-Modell", erklärte das Unternehmen. Herkömmliche Firewalls arbeiteten in der Regel auf Schicht 3 (Vermittlungsschicht) oder Schicht 4 (Transportschicht). Dadurch könnten sie ankommende Anfragen nach IP-Adressen oder Ports filtern. Eine WAF untersuche auch die Inhalte der ankommenden Pakete und könne so Angriffe wie SQL-Injections und Cross Site Scripting abwehren, die herkömmliche Firewalls nicht erkennen. Web Application Firewalls untersuchten ausschließlich HTTP-Pakete, um die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern.

Pohl leitet den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Die Informatikorganisation warnte im Juni 2013 wegen Prism und Tempora vor der trügerischen Sicherheit durch Virensuchprogramme, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systemen. Denn Sicherheitssoftware enthalte viele - nicht immer öffentlich bekannte - Sicherheitslücken, die von Angreifern ausgenutzt würden. Die Angriffstechnik 'Ausnutzung bisher unveröffentlichter Sicherheitslücken' beherrschten heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.


ewatch 19. Sep 2013

Ich vermute mal das Versionen 2.7.0 - 2.7.2 betroffen ist. Dieser Bug hört sich ganz...

Kommentieren



Anzeige

  1. Embedded Software Engineer (m/w)
    GIGATRONIK Technologies GmbH, Sarnen (Schweiz)
  2. Projektleiter (m/w) embedded Software
    Bosch Sensortec GmbH, Reutlingen
  3. Systemadministrator/-in Web Basis
    ZF Friedrichshafen AG, Friedrichshafen
  4. Ange­stell­ter (m/w) in der Daten­ver­arbeitung zur Administration VMware-Infrastruktur
    Universität Hamburg, Hamburg

 

Detailsuche


Blu-ray-Angebote
  1. Gravity - Diamond Luxe Edition [Blu-ray] [Limited Edition]
    12,99€ - Release 26.03.
  2. TIPP: Die Hobbit Trilogie (3 Steelbooks + Bilbo's Journal) [3D Blu-ray] [Limited Edition]
    74,99€ Release 23.04.
  3. Blu-rays je 7,97 EUR
    (u. a. Fast & Furious 6, Bad Neighbors, Oblivion, The Purge)

 

Weitere Angebote


Folgen Sie uns
       


  1. Apple

    iPad Pro soll mit USB 3.0 und Maussteuerung kommen

  2. Harmonix

    Rock Band 4 mit Gitarre und Schlagzeug

  3. Patentanmeldung

    Apple will iPhone wasserdicht machen

  4. Elektroauto

    Wird der BMW i3 zum Apple-Car?

  5. Kostenlose Preview

    So sieht Office 2016 für den Mac aus

  6. Lizenzrecht

    Linux-Entwickler verklagt VMware wegen GPL-Verletzung

  7. Operation Eikonal

    BND bestätigt Missbrauch der Kooperation durch NSA

  8. Microsoft

    Warum sich Windows 7 von PC Fritz registrieren ließ

  9. Oberlandesgericht Oldenburg

    Werber der Telekom darf sich nicht als Ewe Tel ausgeben

  10. Ubuntu Phone

    "Wir wollen auch ganz normale Nutzer ansprechen"



Haben wir etwas übersehen?

E-Mail an news@golem.de



Wolfenstein: Jagd auf Rudi und Helga
Wolfenstein
Jagd auf Rudi und Helga

Lenovo Vibe Shot im Hands On: Überzeugendes Kamera-Smartphone für 350 US-Dollar
Lenovo Vibe Shot im Hands On
Überzeugendes Kamera-Smartphone für 350 US-Dollar
  1. Adware Lenovo-Laptops durch Superfish-Adware angreifbar
  2. Lenovo Tab S8-50F im Test Uns stinkt's!
  3. Lenovo Anypen Auf dem Touchscreen mit beliebigem Stift schreiben

BQ Aquaris E4.5 angesehen: Das erste Ubuntu-Smartphone macht Lust auf mehr
BQ Aquaris E4.5 angesehen
Das erste Ubuntu-Smartphone macht Lust auf mehr
  1. Aquaris E4.5 Canonical bringt das erste Ubuntu-Smartphone - schubweise

  1. Re: wurde Zeit

    SchmuseTigger | 08:30

  2. Re: GPL und freie Software

    Beazy | 08:29

  3. Re: Microsoft sollte lieber auf die Kunden...

    Bouncy | 08:29

  4. Re: Apple Zwang?

    Jasmin26 | 08:27

  5. Re: Einsteigerblabla

    Himmerlarschund... | 08:26


  1. 08:16

  2. 07:58

  3. 07:51

  4. 23:38

  5. 23:18

  6. 22:52

  7. 20:07

  8. 19:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel