• IT-Karriere:
  • Services:

XSS-Lücke und keine sicheren Session-Cookies

Ebenfalls im Präsentationsupload fanden wir bereits im April eine Cross-Site-Scripting-Lücke (XSS). Präsentationen können Nutzern zum Herunterladen angeboten werden, dabei wurde jedoch kein entsprechender Content-Type-Header gesetzt. Damit war es möglich, eine Datei hochzuladen, die zwar von der Dateiendung einem der unterstützen Dateitypen entspricht - in unserem Test haben wir .png verwendet, deren Inhalt aber HTML-Code enthält.

Stellenmarkt
  1. dmTECH GmbH, Karlsruhe
  2. neam IT-Services GmbH, Paderborn

Webbrowser versuchen beim Fehlen des Content Types zu erraten, um was für eine Datei es sich handelt. Daher wird in so einem Fall der HTML-Code gerendert und darin enthaltener Javascript-Code ausgeführt. Wir meldeten diese Lücke an die Entwickler von Big Blue Button und erfuhren, dass diese fast zeitgleich bereits von einer anderen Person gemeldet worden sei. In den Release-Notes für die entsprechende Version wird nur erwähnt, dass man die Sicherheit verbessert habe, ein konkreter Verweis auf die XSS-Sicherheitslücke fehlt.

Cookies ohne Secure-Flag

Ein weiteres Problem haben wir den Entwicklern ebenfalls bereits im April gemeldet: Die Session-Cookies von Big Blue Button enthalten, auch wenn die Seite über HTTPS aufgerufen wird, kein Secure-Flag. Das bedeutet konkret, dass Cookies auch bei unverschlüsselten Verbindungen übertragen werden. Damit ist es für Netzwerkangreifer möglich, Sitzungen von Nutzern zu übernehmen. Sie müssen lediglich dafür sorgen, dass eine einzelne, unverschlüsselte Verbindung zum entsprechenden Host stattfindet, und können das Cookie mitlesen.

Zu dieser Lücke haben wir über mehrere Monate überhaupt keine Antwort der Entwickler von Big Blue Button erhalten. Erst nach mehreren Rückfragen wurde die Lücke geschlossen. Der erste Patch war zudem unvollständig - er setzte zwar das Secure-Flag für Big Blue Button selbst, aber nicht für das standardmäßig mitgelieferte Webfrontend Greenlight. Erst nach nochmaligem Nachhaken wurde auch dort das Secure-Flag gesetzt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Neben diesen konkreten Sicherheitslücken erscheint uns auch das Gesamtdesign von Big Blue Button aus Sicherheitsperspektive sehr problematisch und wir fanden eine Reihe kleinerer Probleme.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Libreoffice-Sandbox für nächste Version geplantUraltes Ubuntu und nicht mehr unterstütze NodeJS-Version 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Mobile-Angebote
  1. 499,90€
  2. 326,74€
  3. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

Keep The Focus 28. Okt 2020 / Themenstart

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

Keep The Focus 26. Okt 2020 / Themenstart

Nein? Sinn?

WalterSobchak 23. Okt 2020 / Themenstart

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

robos 22. Okt 2020 / Themenstart

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Keep The Focus 21. Okt 2020 / Themenstart

absoluter Mumpitz. Wer solche Aussagen trifft, disqualifiziert sich eher als Entwickler.

Kommentieren


Folgen Sie uns
       


Watch Dogs Legion - Fazit

Mit Legion liefert Ubisoft das bisher mit Abstand beste Watch Dogs ab.

Watch Dogs Legion - Fazit Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
PC-Hardware
Warum Grafikkarten derzeit schlecht lieferbar sind

Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
Eine Analyse von Marc Sauter

  1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
  2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10

CoD, Crysis, Dirt 5, Watch Dogs, WoW: Radeon-Raytracing kann auch schnell sein
CoD, Crysis, Dirt 5, Watch Dogs, WoW
Radeon-Raytracing kann auch schnell sein

Wer mit Raytracing zockt, hat je nach Titel mit einer Radeon RX 6800 statt einer Geforce RTX 3070 teilweise die besseren (Grafik-)Karten.
Ein Test von Marc Sauter


      •  /