CodeQL: Github findet Sicherheitslücke in Corona-Warn-App-Server

Das Sicherheitsteam von Github hat eine Remote Code Execution im Server-Code der Corona-Warn-App gefunden

Artikel veröffentlicht am ,
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden.
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden. (Bild: Bundesregierung)

Im Server-Code der Corona-Warn-App wurde eine schwere Sicherheitslücke gefunden und geschlossen. Entdeckt wurde diese von Github-Mitarbeitern mittels des Sicherheitstools CodeQL, das Github vor kurzem eingeführt hat. Mit CodeQL können manche gängigen Sicherheitsprobleme automatisiert in Quellcode erkannt werden.

Bei der Lücke handelt es sich um eine Injection mit der Java-eigenen Expression Language (EL). Eine serverseitige Komponente, welche JavaBeans benutzt, prüfte bei Eingaben eine Liste von Ländern auf Gültigkeit, es geht dabei wohl um den internationalen Datenaustausch zwischen verschiedenen Corona-Apps.

Template-Engine verarbeitet Code in Expression Language

Wenn beim Upload ein ungültiger String für ein Land gesetzt ist, erzeugt dieser eine Fehlermeldung, die den ungültigen String enthält. Das Problem dabei: Diese Fehlermeldung wird von einer Template-Engine verarbeitet, die wiederum eine Funktionalität enthält, um Code mit der Expression Language von Java auszuführen. Sprich: Man kann durch einen entsprechend manipulierten, fehlerhaften Länderstring Code ausführen.

Github-Mitarbeiter Alvaro Muñoz hatte im Juli eine derartige Sicherheitslücke analysiert und daraufhin eine Funktion in den von Github bereitgestellten Quellcode-Scanner CodeQL eingebaut. Daraufhin testete Github diese Funktion mit diversen öffentlich verfügbaren Code-Repositories und dabei fiel die Serverkomponente der Corona-Warn-App auf. Github hat daraufhin SAP über die Lücke informiert und sie wurde geschlossen.

Lücke betrifft nur Server und nicht die App selbst

Ein akutes Risiko besteht daher nicht mehr und in der Meldung von Github gibt es keinen Hinweis darauf, dass die Lücke aktiv ausgenutzt wurde. Da es sich um eine rein serverseitige Lücke handelt, sind Nutzer der App nicht direkt betroffen, es ist auch kein App-Update notwendig.

Github lobt in seiner Mitteilung ausdrücklich, dass die Corona-Warn-App als Open-Source-Code veröffentlicht wurde. Das habe zum einen dafür gesorgt, dass transparent sei, was die App genau auf den Geräten der Nutzer tut, zum anderen ermögliche es eine unabhängige Prüfung der Sicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Direkte-E-Fuel-Produktion
Porsches Masterplan hinter dem Verbrennerkompromiss

Der Sportwagenhersteller will künftig E-Fuels direkt im Fahrzeug produzieren. Dazu übernimmt Porsche das strauchelnde Start-up Sono Motors.
Ein Bericht von Friedhelm Greis

Direkte-E-Fuel-Produktion: Porsches Masterplan hinter dem Verbrennerkompromiss
Artikel
  1. BrouwUnie: Tesla verkauft Giga Bier zu einem stolzen Preis
    BrouwUnie
    Tesla verkauft Giga Bier zu einem stolzen Preis

    Tesla hat, wie von Elon Musk versprochen, nun eine eigene Biermarke im Angebot und verkauft drei Flaschen für knapp 90 Euro.

  2. Google: Ursache für Acropalypse-Lücke in Android seit Jahren bekannt
    Google
    Ursache für Acropalypse-Lücke in Android seit Jahren bekannt

    Eine wohl undokumentierte API-Änderung führte zu der Acropalypse-Sicherheitslücke. Das Problem dabei ist Google schon früh gemeldet worden.

  3. Automobil: Keine zwei Minuten, um einen Tesla Model 3 zu hacken
    Automobil
    Keine zwei Minuten, um einen Tesla Model 3 zu hacken

    Bei der Hacking-Konferenz Pwn2Own 2023 hat ein Forschungsteam keine zwei Minuten benötigt, um ein Tesla Model 3 zu hacken. Das brachte dem Team jede Menge Geld und einen neuen Tesla ein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • ASUS VG27AQ1A QHD/170 Hz 269€ • Crucial P3 Plus 1 TB 60,98€ • ViewSonic VX3218-PC-MHDJ FHD/165 Hz 227,89€ • MindStar: be quiet! Pure Base 600 79€ • Alternate: Corsair Vengeance RGB 64-GB-Kit DDR5-6000 276,89€ und Weekend Sale • Elex II 12,99€ • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /