• IT-Karriere:
  • Services:

CodeQL: Github findet Sicherheitslücke in Corona-Warn-App-Server

Das Sicherheitsteam von Github hat eine Remote Code Execution im Server-Code der Corona-Warn-App gefunden

Artikel veröffentlicht am ,
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden.
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden. (Bild: Bundesregierung)

Im Server-Code der Corona-Warn-App wurde eine schwere Sicherheitslücke gefunden und geschlossen. Entdeckt wurde diese von Github-Mitarbeitern mittels des Sicherheitstools CodeQL, das Github vor kurzem eingeführt hat. Mit CodeQL können manche gängigen Sicherheitsprobleme automatisiert in Quellcode erkannt werden.

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Regensburg
  2. ING Deutschland, Frankfurt, Nürnberg

Bei der Lücke handelt es sich um eine Injection mit der Java-eigenen Expression Language (EL). Eine serverseitige Komponente, welche JavaBeans benutzt, prüfte bei Eingaben eine Liste von Ländern auf Gültigkeit, es geht dabei wohl um den internationalen Datenaustausch zwischen verschiedenen Corona-Apps.

Template-Engine verarbeitet Code in Expression Language

Wenn beim Upload ein ungültiger String für ein Land gesetzt ist, erzeugt dieser eine Fehlermeldung, die den ungültigen String enthält. Das Problem dabei: Diese Fehlermeldung wird von einer Template-Engine verarbeitet, die wiederum eine Funktionalität enthält, um Code mit der Expression Language von Java auszuführen. Sprich: Man kann durch einen entsprechend manipulierten, fehlerhaften Länderstring Code ausführen.

Github-Mitarbeiter Alvaro Muñoz hatte im Juli eine derartige Sicherheitslücke analysiert und daraufhin eine Funktion in den von Github bereitgestellten Quellcode-Scanner CodeQL eingebaut. Daraufhin testete Github diese Funktion mit diversen öffentlich verfügbaren Code-Repositories und dabei fiel die Serverkomponente der Corona-Warn-App auf. Github hat daraufhin SAP über die Lücke informiert und sie wurde geschlossen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Lücke betrifft nur Server und nicht die App selbst

Ein akutes Risiko besteht daher nicht mehr und in der Meldung von Github gibt es keinen Hinweis darauf, dass die Lücke aktiv ausgenutzt wurde. Da es sich um eine rein serverseitige Lücke handelt, sind Nutzer der App nicht direkt betroffen, es ist auch kein App-Update notwendig.

Github lobt in seiner Mitteilung ausdrücklich, dass die Corona-Warn-App als Open-Source-Code veröffentlicht wurde. Das habe zum einen dafür gesorgt, dass transparent sei, was die App genau auf den Geräten der Nutzer tut, zum anderen ermögliche es eine unabhängige Prüfung der Sicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 15,49€
  2. gratis
  3. 8,50€

hab (Golem.de) 22. Nov 2020 / Themenstart

Danke, ist korrigiert.

kilrathi 20. Nov 2020 / Themenstart

Überschrift für Kommentar ist dann falsch. Die Lücke ist geschlossen :)

HeroFeat 20. Nov 2020 / Themenstart

Eine hohe Zahl von CVEs bedeutet erstmal nur das viel gesucht wird (wer suchet, der...

burzum 19. Nov 2020 / Themenstart

Technisch gesehen hast du recht, gesellschaftlich ist sie ein Fail. Ohne das es Anreize...

Ingwar 19. Nov 2020 / Themenstart

Das verhält sich wohl so wie auch Server von Hostern gemietet werden - nicht alle bauen...

Kommentieren


Folgen Sie uns
       


iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Displayprobleme Grünstich beim iPhone 12 aufgetaucht
  2. Entsperren erschwert iPhone 12 Mini macht Probleme mit dem Touchscreen
  3. Kabelloses Laden Magsafe entfaltet beim iPhone 12 Mini sein Potenzial nicht

AVM Fritzdect Smarthome im Test: Nicht smart kann auch smarter sein
AVM Fritzdect Smarthome im Test
Nicht smart kann auch smarter sein

AVMs Fritz Smarthome nutzt den Dect-Standard, um Lampen und Schalter miteinander zu verbinden. Das geht auch offline im eigenen LAN.
Ein Test von Oliver Nickel

  1. Konkurrenz zu Philips Hue Signify bringt WLAN-Lampen von Wiz auf den Markt
  2. Smarte Kühlschränke Hersteller verschweigen Kundschaft Support-Dauer
  3. Magenta Smart Home Telekom bietet mehr für das kostenlose Angebot

Covid-19: So funktioniert die Corona-Vorhersage am FZ Jülich
Covid-19
So funktioniert die Corona-Vorhersage am FZ Jülich

Das Forschungszentrum Jülich hat ein Vorhersagetool für Corona-Neuinfektionen programmiert. Projektleiter Gordon Pipa hat uns erklärt, wie es funktioniert.
Ein Bericht von Boris Mayer

  1. Top 500 Deutscher Supercomputer unter den ersten zehn
  2. Hochleistungsrechner Berlin und sieben weitere Städte bekommen Millionenförderung
  3. Cineca Leonardo Nvidias A100 befeuert 10-Exaflops-AI-Supercomputer

    •  /