• IT-Karriere:
  • Services:

CodeQL: Github findet Sicherheitslücke in Corona-Warn-App-Server

Das Sicherheitsteam von Github hat eine Remote Code Execution im Server-Code der Corona-Warn-App gefunden

Artikel veröffentlicht am ,
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden.
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden. (Bild: Bundesregierung)

Im Server-Code der Corona-Warn-App wurde eine schwere Sicherheitslücke gefunden und geschlossen. Entdeckt wurde diese von Github-Mitarbeitern mittels des Sicherheitstools CodeQL, das Github vor kurzem eingeführt hat. Mit CodeQL können manche gängigen Sicherheitsprobleme automatisiert in Quellcode erkannt werden.

Stellenmarkt
  1. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  2. European Bank for Financial Services GmbH (ebase®), Aschheim

Bei der Lücke handelt es sich um eine Injection mit der Java-eigenen Expression Language (EL). Eine serverseitige Komponente, welche JavaBeans benutzt, prüfte bei Eingaben eine Liste von Ländern auf Gültigkeit, es geht dabei wohl um den internationalen Datenaustausch zwischen verschiedenen Corona-Apps.

Template-Engine verarbeitet Code in Expression Language

Wenn beim Upload ein ungültiger String für ein Land gesetzt ist, erzeugt dieser eine Fehlermeldung, die den ungültigen String enthält. Das Problem dabei: Diese Fehlermeldung wird von einer Template-Engine verarbeitet, die wiederum eine Funktionalität enthält, um Code mit der Expression Language von Java auszuführen. Sprich: Man kann durch einen entsprechend manipulierten, fehlerhaften Länderstring Code ausführen.

Github-Mitarbeiter Alvaro Muñoz hatte im Juli eine derartige Sicherheitslücke analysiert und daraufhin eine Funktion in den von Github bereitgestellten Quellcode-Scanner CodeQL eingebaut. Daraufhin testete Github diese Funktion mit diversen öffentlich verfügbaren Code-Repositories und dabei fiel die Serverkomponente der Corona-Warn-App auf. Github hat daraufhin SAP über die Lücke informiert und sie wurde geschlossen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Lücke betrifft nur Server und nicht die App selbst

Ein akutes Risiko besteht daher nicht mehr und in der Meldung von Github gibt es keinen Hinweis darauf, dass die Lücke aktiv ausgenutzt wurde. Da es sich um eine rein serverseitige Lücke handelt, sind Nutzer der App nicht direkt betroffen, es ist auch kein App-Update notwendig.

Github lobt in seiner Mitteilung ausdrücklich, dass die Corona-Warn-App als Open-Source-Code veröffentlicht wurde. Das habe zum einen dafür gesorgt, dass transparent sei, was die App genau auf den Geräten der Nutzer tut, zum anderen ermögliche es eine unabhängige Prüfung der Sicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Zotac GAMING GeForce RTX 3070 Twin Edge OC für 670,17€, PNY GeForce RTX 3090 XLR8 Gaming...

hab (Golem.de) 22. Nov 2020 / Themenstart

Danke, ist korrigiert.

kilrathi 20. Nov 2020 / Themenstart

Überschrift für Kommentar ist dann falsch. Die Lücke ist geschlossen :)

HeroFeat 20. Nov 2020 / Themenstart

Eine hohe Zahl von CVEs bedeutet erstmal nur das viel gesucht wird (wer suchet, der...

burzum 19. Nov 2020 / Themenstart

Technisch gesehen hast du recht, gesellschaftlich ist sie ein Fail. Ohne das es Anreize...

Ingwar 19. Nov 2020 / Themenstart

Das verhält sich wohl so wie auch Server von Hostern gemietet werden - nicht alle bauen...

Kommentieren


Folgen Sie uns
       


Xbox Series S ausgepackt

Wir packen beide Konsolen aus und zeigen den Lieferumfang.

Xbox Series S ausgepackt Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

CoD, Crysis, Dirt 5, Watch Dogs, WoW: Radeon-Raytracing kann auch schnell sein
CoD, Crysis, Dirt 5, Watch Dogs, WoW
Radeon-Raytracing kann auch schnell sein

Wer mit Raytracing zockt, hat je nach Titel mit einer Radeon RX 6800 statt einer Geforce RTX 3070 teilweise die besseren (Grafik-)Karten.
Ein Test von Marc Sauter


    Smarte Lautsprecher im Vergleichstest: Amazon hat den Besten
    Smarte Lautsprecher im Vergleichstest
    Amazon hat den Besten

    Echo 4, Nest Audio, Echo Dot 4 oder Homepod Mini? Bei smarten Lautsprechern für maximal 100 Euro ist die Größe entscheidend.
    Ein Test von Ingo Pakalski

    1. Smarter Lautsprecher Google zeigt Nest Audio für 100 Euro
    2. Harman Kardon Portabler Lautsprecher mit Google Assistant und Airplay 2
    3. Smarter Lautsprecher Google bestätigt offiziell neuen Nest-Lautsprecher

      •  /