Modsecurity: Sicherheitslücke in der Web Application Firewall
(Bild: Kacper Pempel/Reuters)

Modsecurity Sicherheitslücke in der Web Application Firewall

Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.

Anzeige

Die IT-Sicherheitsberatung Softscheck hat eine Sicherheitslücke in der Web Application Firewall (WAF) Modsecurity getestet. Das gab das Unternehmen des Informatikprofessors Hartmut Pohl am 18. September 2013 bekannt. Es war deshalb möglich, den Webserver durch HTTP-Anfragen mit XML-Inhalt über eine Denial-of-Service-Attacke außer Betrieb zu setzen.

Damit Sicherheitssoftware nicht selbst zum Sicherheitsproblem werde, solle sie regelmäßig und gezielt mit den bekannten Verfahren Threat Modeling, Static Source Code Analyse, Penetration Testing und Dynamic Analysis auf Sicherheitslücken hin untersucht werden, rät Pohl. Die Sicherheitslücke ist nicht aktuell und schon behoben. Veröffentlicht wurde sie offiziell am 25. April 2013 als CVE-2013-1915.

WAFs arbeiten mit Black- und Whitelists und filtern den HTTP-Transfer zwischen Server und Client. "Der Vorteil gegenüber herkömmlichen Firewalls ist, dass eine WAF nicht auf den unteren Netzwerkebenen filtert, sondern auf der Anwendungsschicht - Schicht 7 nach OSI-Modell", erklärte das Unternehmen. Herkömmliche Firewalls arbeiteten in der Regel auf Schicht 3 (Vermittlungsschicht) oder Schicht 4 (Transportschicht). Dadurch könnten sie ankommende Anfragen nach IP-Adressen oder Ports filtern. Eine WAF untersuche auch die Inhalte der ankommenden Pakete und könne so Angriffe wie SQL-Injections und Cross Site Scripting abwehren, die herkömmliche Firewalls nicht erkennen. Web Application Firewalls untersuchten ausschließlich HTTP-Pakete, um die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern.

Pohl leitet den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Die Informatikorganisation warnte im Juni 2013 wegen Prism und Tempora vor der trügerischen Sicherheit durch Virensuchprogramme, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systemen. Denn Sicherheitssoftware enthalte viele - nicht immer öffentlich bekannte - Sicherheitslücken, die von Angreifern ausgenutzt würden. Die Angriffstechnik 'Ausnutzung bisher unveröffentlichter Sicherheitslücken' beherrschten heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.


ewatch 19. Sep 2013

Ich vermute mal das Versionen 2.7.0 - 2.7.2 betroffen ist. Dieser Bug hört sich ganz...

Kommentieren



Anzeige

  1. IT-Projektkoordinator / Junior-Softwareentwickler (m/w)
    CONTAG AG, Berlin
  2. Senior Systemingenieur (m/w) für Lotus Notes und Groupware
    Diehl Informatik GmbH, Nürnberg
  3. Projektleiter Database Marketing (m/w)
    Schober Direct Media gmbh + Co. Kg, Ditzingen
  4. Softwareentwickler (m/w)
    Dürr Systems GmbH, Bietigheim-Bissingen

 

Detailsuche


Top-Angebote
  1. NEU: Blu-rays um bis zu 40% reduziert
    (u. a. Rambo Trilogy Ultimate Edition 16,99€ FSK 18, MASK komplette Serie 20,97€, Running...
  2. NEU: Sim City Download
    10,97€
  3. NEU: Ich - Einfach unverbesserlich 1&2 - Weihnachts-Special [Blu-ray]
    22,97€

 

Weitere Angebote


Folgen Sie uns
       


  1. Star Citizen

    Galaktisches Update mit Lobby, Raketen und Cockpits

  2. Smrtgrips

    Die intelligenten Griffe fürs Fahrrad

  3. Messenger

    Whatsapp richtet Spam-Sperre ein

  4. Sony-Hack

    Die dubiose IP-Spur nach Nordkorea

  5. FreeBSD-Entwickler

    Linux-Foundation sponsert NTPD-Alternative

  6. Telefonabzocke

    Kaum weniger Beschwerden trotz hoher Bußgelder

  7. GSC Game World

    Entwicklerstudio von Stalker neu gegründet

  8. Android 5.0.2

    Erstes Nexus 7 erhält weiteres Lollipop-Update

  9. Anonymisierung

    Tor-Warnung verunsichert Betreiber von Exit Nodes

  10. Südkorea

    Betreiber von Atomreaktoren testet Hackerangriff



Haben wir etwas übersehen?

E-Mail an news@golem.de



ROM-Ecke: Pac Man ROM - Android gibt alles
ROM-Ecke
Pac Man ROM - Android gibt alles
  1. ROM-Ecke Slimkat - viele Einstellungen und viel Schwarz

Security: Smarthomes, offen wie Scheunentore
Security
Smarthomes, offen wie Scheunentore
  1. Software-Plattform Bosch und Cisco gründen Joint Venture für Smart Home
  2. Pantelligent Die funkende Bratpfanne
  3. Smarthome Das intelligente Haus wird nie fertig

Nexus 6 gegen Moto X: Das Nexus ist tot
Nexus 6 gegen Moto X
Das Nexus ist tot
  1. Teardown Nexus 6 kommt mit wenig Kleber aus
  2. Google Nexus 6 kommt doch erst viel später
  3. Google Nexus 6 erscheint nächste Woche - doch nicht

    •  / 
    Zum Artikel