XSS-Lücke und keine sicheren Session-Cookies
Ebenfalls im Präsentationsupload fanden wir bereits im April eine Cross-Site-Scripting-Lücke (XSS). Präsentationen können Nutzern zum Herunterladen angeboten werden, dabei wurde jedoch kein entsprechender Content-Type-Header gesetzt. Damit war es möglich, eine Datei hochzuladen, die zwar von der Dateiendung einem der unterstützen Dateitypen entspricht - in unserem Test haben wir .png verwendet, deren Inhalt aber HTML-Code enthält.
Webbrowser versuchen beim Fehlen des Content Types zu erraten, um was für eine Datei es sich handelt. Daher wird in so einem Fall der HTML-Code gerendert und darin enthaltener Javascript-Code ausgeführt. Wir meldeten diese Lücke an die Entwickler von Big Blue Button und erfuhren, dass diese fast zeitgleich bereits von einer anderen Person gemeldet worden sei. In den Release-Notes für die entsprechende Version wird nur erwähnt, dass man die Sicherheit verbessert habe, ein konkreter Verweis auf die XSS-Sicherheitslücke fehlt.
Cookies ohne Secure-Flag
Ein weiteres Problem haben wir den Entwicklern ebenfalls bereits im April gemeldet: Die Session-Cookies von Big Blue Button enthalten, auch wenn die Seite über HTTPS aufgerufen wird, kein Secure-Flag. Das bedeutet konkret, dass Cookies auch bei unverschlüsselten Verbindungen übertragen werden. Damit ist es für Netzwerkangreifer möglich, Sitzungen von Nutzern zu übernehmen. Sie müssen lediglich dafür sorgen, dass eine einzelne, unverschlüsselte Verbindung zum entsprechenden Host stattfindet, und können das Cookie mitlesen.
Zu dieser Lücke haben wir über mehrere Monate überhaupt keine Antwort der Entwickler von Big Blue Button erhalten. Erst nach mehreren Rückfragen wurde die Lücke geschlossen. Der erste Patch war zudem unvollständig - er setzte zwar das Secure-Flag für Big Blue Button selbst, aber nicht für das standardmäßig mitgelieferte Webfrontend Greenlight. Erst nach nochmaligem Nachhaken wurde auch dort das Secure-Flag gesetzt.
Neben diesen konkreten Sicherheitslücken erscheint uns auch das Gesamtdesign von Big Blue Button aus Sicherheitsperspektive sehr problematisch und wir fanden eine Reihe kleinerer Probleme.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Libreoffice-Sandbox für nächste Version geplant | Uraltes Ubuntu und nicht mehr unterstütze NodeJS-Version |
Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...
Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...
Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...
.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...