CodeQL: Github findet Sicherheitslücke in Corona-Warn-App-Server

Das Sicherheitsteam von Github hat eine Remote Code Execution im Server-Code der Corona-Warn-App gefunden

Artikel veröffentlicht am ,
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden.
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden. (Bild: Bundesregierung)

Im Server-Code der Corona-Warn-App wurde eine schwere Sicherheitslücke gefunden und geschlossen. Entdeckt wurde diese von Github-Mitarbeitern mittels des Sicherheitstools CodeQL, das Github vor kurzem eingeführt hat. Mit CodeQL können manche gängigen Sicherheitsprobleme automatisiert in Quellcode erkannt werden.

Stellenmarkt
  1. Solution Engineer (m/f/d)
    Usercentrics GmbH, München
  2. Fachgruppenleitung Informations- und Kommunikationstechnologien (w/m/d)
    Bundesinstitut für Risikobewertung, Berlin
Detailsuche

Bei der Lücke handelt es sich um eine Injection mit der Java-eigenen Expression Language (EL). Eine serverseitige Komponente, welche JavaBeans benutzt, prüfte bei Eingaben eine Liste von Ländern auf Gültigkeit, es geht dabei wohl um den internationalen Datenaustausch zwischen verschiedenen Corona-Apps.

Template-Engine verarbeitet Code in Expression Language

Wenn beim Upload ein ungültiger String für ein Land gesetzt ist, erzeugt dieser eine Fehlermeldung, die den ungültigen String enthält. Das Problem dabei: Diese Fehlermeldung wird von einer Template-Engine verarbeitet, die wiederum eine Funktionalität enthält, um Code mit der Expression Language von Java auszuführen. Sprich: Man kann durch einen entsprechend manipulierten, fehlerhaften Länderstring Code ausführen.

Github-Mitarbeiter Alvaro Muñoz hatte im Juli eine derartige Sicherheitslücke analysiert und daraufhin eine Funktion in den von Github bereitgestellten Quellcode-Scanner CodeQL eingebaut. Daraufhin testete Github diese Funktion mit diversen öffentlich verfügbaren Code-Repositories und dabei fiel die Serverkomponente der Corona-Warn-App auf. Github hat daraufhin SAP über die Lücke informiert und sie wurde geschlossen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Lücke betrifft nur Server und nicht die App selbst

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
Weitere IT-Trainings

Ein akutes Risiko besteht daher nicht mehr und in der Meldung von Github gibt es keinen Hinweis darauf, dass die Lücke aktiv ausgenutzt wurde. Da es sich um eine rein serverseitige Lücke handelt, sind Nutzer der App nicht direkt betroffen, es ist auch kein App-Update notwendig.

Github lobt in seiner Mitteilung ausdrücklich, dass die Corona-Warn-App als Open-Source-Code veröffentlicht wurde. Das habe zum einen dafür gesorgt, dass transparent sei, was die App genau auf den Geräten der Nutzer tut, zum anderen ermögliche es eine unabhängige Prüfung der Sicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nextbox von Nitrokey im Test
Die eigene Cloud im Wohnzimmer

Mit der Nextbox hat Nitrokey eine Cloud für zu Hause entwickelt, um die man sich nicht kümmern muss. Dafür kann man sie auf der ganzen Welt erreichen.
Ein Test von Moritz Tremmel

Nextbox von Nitrokey im Test: Die eigene Cloud im Wohnzimmer
Artikel
  1. Pornografie: Hostprovider soll Xhamster sperren
    Pornografie
    Hostprovider soll Xhamster sperren

    Medienwächter haben den Hostprovider von Xhamster ausfindig gemacht. Dieser soll das Pornoportal für deutsche Nutzer sperren.

  2. KI: Gesichtserkennung verhindert Anträge auf Arbeitslosengeld
    KI
    Gesichtserkennung verhindert Anträge auf Arbeitslosengeld

    Um Betrug beim Arbeitslosengeld vorzubeugen, setzen US-Staaten auf eine Gesichtserkennung. Das führt zu zahlreichen Problemen.

  3. SSDs und Monitore zum Knallerpreis beim Amazon Prime Day
     
    SSDs und Monitore zum Knallerpreis beim Amazon Prime Day

    Wer auf der Suche nach neuer Hardware ist, sollte den Prime Day von Amazon nutzen. Hier warten Rabatte auf alle möglichen Artikel.
    Ausgewählte Angebote des E-Commerce-Teams

hab (Golem.de) 22. Nov 2020

Danke, ist korrigiert.

kilrathi 20. Nov 2020

Überschrift für Kommentar ist dann falsch. Die Lücke ist geschlossen :)

HeroFeat 20. Nov 2020

Eine hohe Zahl von CVEs bedeutet erstmal nur das viel gesucht wird (wer suchet, der...

[gelöscht] 19. Nov 2020

Ingwar 19. Nov 2020

Das verhält sich wohl so wie auch Server von Hostern gemietet werden - nicht alle bauen...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • HyperX Cloud II 51,29€ • Apple-Produkte (u. a. iPhone 12 128GB 769€) • TV OLED & QLED [Werbung]
    •  /