Abo
  • Services:
Anzeige
Modsecurity: Sicherheitslücke in der Web Application Firewall
(Bild: Kacper Pempel/Reuters)

Modsecurity Sicherheitslücke in der Web Application Firewall

Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.

Anzeige

Die IT-Sicherheitsberatung Softscheck hat eine Sicherheitslücke in der Web Application Firewall (WAF) Modsecurity getestet. Das gab das Unternehmen des Informatikprofessors Hartmut Pohl am 18. September 2013 bekannt. Es war deshalb möglich, den Webserver durch HTTP-Anfragen mit XML-Inhalt über eine Denial-of-Service-Attacke außer Betrieb zu setzen.

Damit Sicherheitssoftware nicht selbst zum Sicherheitsproblem werde, solle sie regelmäßig und gezielt mit den bekannten Verfahren Threat Modeling, Static Source Code Analyse, Penetration Testing und Dynamic Analysis auf Sicherheitslücken hin untersucht werden, rät Pohl. Die Sicherheitslücke ist nicht aktuell und schon behoben. Veröffentlicht wurde sie offiziell am 25. April 2013 als CVE-2013-1915.

WAFs arbeiten mit Black- und Whitelists und filtern den HTTP-Transfer zwischen Server und Client. "Der Vorteil gegenüber herkömmlichen Firewalls ist, dass eine WAF nicht auf den unteren Netzwerkebenen filtert, sondern auf der Anwendungsschicht - Schicht 7 nach OSI-Modell", erklärte das Unternehmen. Herkömmliche Firewalls arbeiteten in der Regel auf Schicht 3 (Vermittlungsschicht) oder Schicht 4 (Transportschicht). Dadurch könnten sie ankommende Anfragen nach IP-Adressen oder Ports filtern. Eine WAF untersuche auch die Inhalte der ankommenden Pakete und könne so Angriffe wie SQL-Injections und Cross Site Scripting abwehren, die herkömmliche Firewalls nicht erkennen. Web Application Firewalls untersuchten ausschließlich HTTP-Pakete, um die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern.

Pohl leitet den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Die Informatikorganisation warnte im Juni 2013 wegen Prism und Tempora vor der trügerischen Sicherheit durch Virensuchprogramme, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systemen. Denn Sicherheitssoftware enthalte viele - nicht immer öffentlich bekannte - Sicherheitslücken, die von Angreifern ausgenutzt würden. Die Angriffstechnik 'Ausnutzung bisher unveröffentlichter Sicherheitslücken' beherrschten heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.


eye home zur Startseite
ewatch 19. Sep 2013

Ich vermute mal das Versionen 2.7.0 - 2.7.2 betroffen ist. Dieser Bug hört sich ganz...



Anzeige

Stellenmarkt
  1. Interhyp Gruppe, Berlin
  2. Continental AG, Frankfurt
  3. 3Tec automation GmbH u. Co. KG, Vlotho
  4. WEGMANN automotive GmbH & Co. KG, Veitshöchheim


Anzeige
Hardware-Angebote
  1. (u. a. MSI Gaming X 8G, Evga ACX 3.0, Gainward Phoenix GS, Gigabyte G1 Gaming)
  2. (Core i5-6600 + Geforce GTX 1070)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Tipps für IT-Engagement in Fernost


  1. Ausfall

    Störung im Netz von Netcologne

  2. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  3. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  4. Hearthstone

    Blizzard feiert eine Nacht in Karazhan

  5. Gmane

    Wichtiges Mailing-Listen-Archiv offline

  6. Olympia

    Kann der Hashtag #Rio2016 verboten werden?

  7. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  8. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  9. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  10. Sony

    Absatz der Playstation 4 weiter stark



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Hugo Barra verkündet Premium-Smartphone
  3. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte
  1. Killerspiel-Debatte ProSieben Maxx stoppt Übertragungen von Counter-Strike

Schwachstellen aufgedeckt: Der leichtfertige Umgang mit kritischen Infrastrukturen
Schwachstellen aufgedeckt
Der leichtfertige Umgang mit kritischen Infrastrukturen
  1. Keysniffer Millionen kabellose Tastaturen senden Daten im Klartext
  2. Tor Hidden Services Über 100 spionierende Tor-Nodes
  3. Pilotprojekt EU will Open Source sicherer machen

  1. Re: Berichte über Elon Musk

    SirFartALot | 23:33

  2. Re: Und, gibt es schon Abmahnungen wegen nicht...

    Oktavian | 23:32

  3. Re: windows 7

    Mr Miyagi | 23:30

  4. Re: Kreditkarte nötig?

    odoggy | 23:27

  5. Re: Alternative: Everything Search Engine

    FreiGeistler | 23:12


  1. 18:21

  2. 18:05

  3. 17:23

  4. 17:04

  5. 16:18

  6. 14:28

  7. 13:00

  8. 12:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel