CodeQL: Github findet Sicherheitslücke in Corona-Warn-App-Server

Das Sicherheitsteam von Github hat eine Remote Code Execution im Server-Code der Corona-Warn-App gefunden

Artikel veröffentlicht am ,
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden.
In der Serverkomponente der Corona-Warn-App wurde eine Remote Code Execution gefunden. (Bild: Bundesregierung)

Im Server-Code der Corona-Warn-App wurde eine schwere Sicherheitslücke gefunden und geschlossen. Entdeckt wurde diese von Github-Mitarbeitern mittels des Sicherheitstools CodeQL, das Github vor kurzem eingeführt hat. Mit CodeQL können manche gängigen Sicherheitsprobleme automatisiert in Quellcode erkannt werden.

Stellenmarkt
  1. Inhouse SAP Teamleiter & SAP S / 4HANA Projektleiter (m/w/x)
    über duerenhoff GmbH, Raum Weil am Rhein
  2. JAVA Entwickler (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Regensburg, Villingen-Schwenningen
Detailsuche

Bei der Lücke handelt es sich um eine Injection mit der Java-eigenen Expression Language (EL). Eine serverseitige Komponente, welche JavaBeans benutzt, prüfte bei Eingaben eine Liste von Ländern auf Gültigkeit, es geht dabei wohl um den internationalen Datenaustausch zwischen verschiedenen Corona-Apps.

Template-Engine verarbeitet Code in Expression Language

Wenn beim Upload ein ungültiger String für ein Land gesetzt ist, erzeugt dieser eine Fehlermeldung, die den ungültigen String enthält. Das Problem dabei: Diese Fehlermeldung wird von einer Template-Engine verarbeitet, die wiederum eine Funktionalität enthält, um Code mit der Expression Language von Java auszuführen. Sprich: Man kann durch einen entsprechend manipulierten, fehlerhaften Länderstring Code ausführen.

Github-Mitarbeiter Alvaro Muñoz hatte im Juli eine derartige Sicherheitslücke analysiert und daraufhin eine Funktion in den von Github bereitgestellten Quellcode-Scanner CodeQL eingebaut. Daraufhin testete Github diese Funktion mit diversen öffentlich verfügbaren Code-Repositories und dabei fiel die Serverkomponente der Corona-Warn-App auf. Github hat daraufhin SAP über die Lücke informiert und sie wurde geschlossen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Lücke betrifft nur Server und nicht die App selbst

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
  2. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  3. OpenShift Installation & Administration
    9.-11. August 2021, online
Weitere IT-Trainings

Ein akutes Risiko besteht daher nicht mehr und in der Meldung von Github gibt es keinen Hinweis darauf, dass die Lücke aktiv ausgenutzt wurde. Da es sich um eine rein serverseitige Lücke handelt, sind Nutzer der App nicht direkt betroffen, es ist auch kein App-Update notwendig.

Github lobt in seiner Mitteilung ausdrücklich, dass die Corona-Warn-App als Open-Source-Code veröffentlicht wurde. Das habe zum einen dafür gesorgt, dass transparent sei, was die App genau auf den Geräten der Nutzer tut, zum anderen ermögliche es eine unabhängige Prüfung der Sicherheit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk erzählt, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Quartalsbericht: Apple mit 36 Prozent Umsatzwachstum
    Quartalsbericht
    Apple mit 36 Prozent Umsatzwachstum

    Apple verkaufte viel mehr iPhones, iPads, Macs und Zubehör als im letzten Jahr. Der Umsatz stieg um 36 Prozent und auch der Gewinn lässt sich sehen.

  2. Energiespeicher: Tesla nennt Preis für Megapack-Akku mit 3 MWh
    Energiespeicher
    Tesla nennt Preis für Megapack-Akku mit 3 MWh

    Das Tesla Megapack ist ein industrielles Akkusystem mit einer Kapazität von 3 Megawattstunden. Nun wurde der Online-Konfiguratur online gestellt.

  3. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

hab (Golem.de) 22. Nov 2020

Danke, ist korrigiert.

kilrathi 20. Nov 2020

Überschrift für Kommentar ist dann falsch. Die Lücke ist geschlossen :)

HeroFeat 20. Nov 2020

Eine hohe Zahl von CVEs bedeutet erstmal nur das viel gesucht wird (wer suchet, der...

[gelöscht] 19. Nov 2020

Ingwar 19. Nov 2020

Das verhält sich wohl so wie auch Server von Hostern gemietet werden - nicht alle bauen...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /