XSS-Lücke und keine sicheren Session-Cookies

Ebenfalls im Präsentationsupload fanden wir bereits im April eine Cross-Site-Scripting-Lücke (XSS). Präsentationen können Nutzern zum Herunterladen angeboten werden, dabei wurde jedoch kein entsprechender Content-Type-Header gesetzt. Damit war es möglich, eine Datei hochzuladen, die zwar von der Dateiendung einem der unterstützen Dateitypen entspricht - in unserem Test haben wir .png verwendet, deren Inhalt aber HTML-Code enthält.

Webbrowser versuchen beim Fehlen des Content Types zu erraten, um was für eine Datei es sich handelt. Daher wird in so einem Fall der HTML-Code gerendert und darin enthaltener Javascript-Code ausgeführt. Wir meldeten diese Lücke an die Entwickler von Big Blue Button und erfuhren, dass diese fast zeitgleich bereits von einer anderen Person gemeldet worden sei. In den Release-Notes für die entsprechende Version wird nur erwähnt, dass man die Sicherheit verbessert habe, ein konkreter Verweis auf die XSS-Sicherheitslücke fehlt.

Cookies ohne Secure-Flag

Ein weiteres Problem haben wir den Entwicklern ebenfalls bereits im April gemeldet: Die Session-Cookies von Big Blue Button enthalten, auch wenn die Seite über HTTPS aufgerufen wird, kein Secure-Flag. Das bedeutet konkret, dass Cookies auch bei unverschlüsselten Verbindungen übertragen werden. Damit ist es für Netzwerkangreifer möglich, Sitzungen von Nutzern zu übernehmen. Sie müssen lediglich dafür sorgen, dass eine einzelne, unverschlüsselte Verbindung zum entsprechenden Host stattfindet, und können das Cookie mitlesen.

Zu dieser Lücke haben wir über mehrere Monate überhaupt keine Antwort der Entwickler von Big Blue Button erhalten. Erst nach mehreren Rückfragen wurde die Lücke geschlossen. Der erste Patch war zudem unvollständig - er setzte zwar das Secure-Flag für Big Blue Button selbst, aber nicht für das standardmäßig mitgelieferte Webfrontend Greenlight. Erst nach nochmaligem Nachhaken wurde auch dort das Secure-Flag gesetzt.

Neben diesen konkreten Sicherheitslücken erscheint uns auch das Gesamtdesign von Big Blue Button aus Sicherheitsperspektive sehr problematisch und wir fanden eine Reihe kleinerer Probleme.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Libreoffice-Sandbox für nächste Version geplantUraltes Ubuntu und nicht mehr unterstütze NodeJS-Version 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  
Verwandte Artikel
artikel-bild
Polizei
Vier Durchsuchungen wegen Missbrauch von Lernplattform
artikel-bild
Fahrdienst
Uber-Dienste laufen nach Hack weiter
artikel-bild
Wasm
Libreoffice läuft mit Webassembly im Browser
Meistgelesen
artikel-bild
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen
artikel-bild
Science-Fiction
Zehn Sci-Fi-Highlights aus den 70er Jahren
artikel-bild
Raumfahrt
Tomaten auf der ISS sehen nach Monaten noch genießbar aus
Kommentarübersicht
Re: Erfunden?
ClausWARE 06. Jan 2021

Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...

Re: leider die beste Lösung
Keep The Focus 28. Okt 2020

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

Re: Und was ist die Lösung?
WalterSobchak 23. Okt 2020

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

Wieviel geiler wäre doch die Überschrift ..
robos 22. Okt 2020

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Aktuell auf der Startseite von Golem.de
Energiewende
Deutsche Stromnetze im Dornröschenschlaf

IT ist der Game Changer der Energiewende - nur nicht in Deutschland.
Eine Analyse von Gerd Mischler

Energiewende: Deutsche Stromnetze im Dornröschenschlaf
Artikel
  1. Disney+, Netflix und Prime Video: Das goldene Streamingzeitalter wird zum silbernen
    Disney+, Netflix und Prime Video
    Das goldene Streamingzeitalter wird zum silbernen

    Das aktuelle Jahr hat viele Umbrüche im Streamingmarkt erlebt - und nächstes Jahr geht es weiter. Das wird negative Auswirkungen für Anbieter und Kunden haben.
    Eine Analyse von Ingo Pakalski

  2. Mehrjährige Haftstrafe: Betreiber von Deutschland im Deep Web verurteilt
    Mehrjährige Haftstrafe
    Betreiber von Deutschland im Deep Web verurteilt

    Der Verurteilte war Betreiber einer der größten deutschsprachigen Darknet-Plattformen für den Drogenhandel - mit rund 16.000 Benutzern.

  3. Aufkauf der Restaktien: Silver Lake will die Software AG vollends übernehmen
    Aufkauf der Restaktien
    Silver Lake will die Software AG vollends übernehmen

    Das Angebot des Investors für die restlichen Anteile liegt vor. Die Software AG trennt sich derweil von zwei Produkten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /