Abo
  • Services:
Anzeige
Modsecurity: Sicherheitslücke in der Web Application Firewall
(Bild: Kacper Pempel/Reuters)

Modsecurity Sicherheitslücke in der Web Application Firewall

Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.

Anzeige

Die IT-Sicherheitsberatung Softscheck hat eine Sicherheitslücke in der Web Application Firewall (WAF) Modsecurity getestet. Das gab das Unternehmen des Informatikprofessors Hartmut Pohl am 18. September 2013 bekannt. Es war deshalb möglich, den Webserver durch HTTP-Anfragen mit XML-Inhalt über eine Denial-of-Service-Attacke außer Betrieb zu setzen.

Damit Sicherheitssoftware nicht selbst zum Sicherheitsproblem werde, solle sie regelmäßig und gezielt mit den bekannten Verfahren Threat Modeling, Static Source Code Analyse, Penetration Testing und Dynamic Analysis auf Sicherheitslücken hin untersucht werden, rät Pohl. Die Sicherheitslücke ist nicht aktuell und schon behoben. Veröffentlicht wurde sie offiziell am 25. April 2013 als CVE-2013-1915.

WAFs arbeiten mit Black- und Whitelists und filtern den HTTP-Transfer zwischen Server und Client. "Der Vorteil gegenüber herkömmlichen Firewalls ist, dass eine WAF nicht auf den unteren Netzwerkebenen filtert, sondern auf der Anwendungsschicht - Schicht 7 nach OSI-Modell", erklärte das Unternehmen. Herkömmliche Firewalls arbeiteten in der Regel auf Schicht 3 (Vermittlungsschicht) oder Schicht 4 (Transportschicht). Dadurch könnten sie ankommende Anfragen nach IP-Adressen oder Ports filtern. Eine WAF untersuche auch die Inhalte der ankommenden Pakete und könne so Angriffe wie SQL-Injections und Cross Site Scripting abwehren, die herkömmliche Firewalls nicht erkennen. Web Application Firewalls untersuchten ausschließlich HTTP-Pakete, um die Ausnutzung von Sicherheitslücken speziell in Webanwendungen zu verhindern.

Pohl leitet den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI). Die Informatikorganisation warnte im Juni 2013 wegen Prism und Tempora vor der trügerischen Sicherheit durch Virensuchprogramme, Firewalls sowie Intrusion-Detection- und Intrusion-Prevention-Systemen. Denn Sicherheitssoftware enthalte viele - nicht immer öffentlich bekannte - Sicherheitslücken, die von Angreifern ausgenutzt würden. Die Angriffstechnik 'Ausnutzung bisher unveröffentlichter Sicherheitslücken' beherrschten heute auch Sicherheitsbehörden in Drittstaaten sowie größere kriminelle Organisationen.


eye home zur Startseite
ewatch 19. Sep 2013

Ich vermute mal das Versionen 2.7.0 - 2.7.2 betroffen ist. Dieser Bug hört sich ganz...



Anzeige

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. T-Systems International GmbH, München, Leinfelden-Echterdingen, Berlin
  3. über Ratbacher GmbH, München
  4. über Ratbacher GmbH, Freiburg


Anzeige
Hardware-Angebote
  1. 179,99€
  2. 17,99€ statt 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. UHS-III

    Neuer (Micro-)SD-Karten-Standard schafft über 600 MByte/s

  2. Watch 2 im Hands on

    Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten

  3. LG G6 im Hands on

    Schlankes Smartphone hat zwei Kameralinsen

  4. P10 und P10 Plus im Hands on

    Huaweis neues P10 kostet 600 Euro

  5. Mobilfunk

    Nokia bringt Vorstandard 5G-Netzwerkausrüstung

  6. Blackberry Key One im Hands on

    Android-Smartphone mit toller Hardware-Tastatur

  7. Deutschland

    Smartphone-Aufnahmen in Wahlkabinen werden verboten

  8. Stewart International Airport

    New Yorker Flughafen wohl ein Jahr schutzlos am Netz

  9. Blackberry Key One

    Android-Smartphone mit Hardware-Tastatur kostet viel

  10. Arrow Launcher 3.0

    Microsofts Android-Launcher braucht weniger Energie und RAM



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Trappist-1: Der Zwerg und die sieben Planeten
Trappist-1
Der Zwerg und die sieben Planeten
  1. Weltraumteleskop Erosita soll Hinweise auf Dunkle Energie finden
  2. Astrophysik Ferne Galaxie schickt grelle Blitze zur Erde
  3. Astronomie Vera Rubin, die dunkle Materie und der Nobelpreis

Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

  1. Re: Preis?

    Arkarit | 18:16

  2. Re: Rückseitiger Sensor

    ThaKilla | 18:15

  3. Re: Der Preis...

    pre3 | 18:09

  4. Re: Format?!

    Wahrheitssager | 18:07

  5. Re: Wie löst man das Problem?

    Lemo | 18:04


  1. 18:10

  2. 17:48

  3. 15:49

  4. 14:30

  5. 13:59

  6. 12:37

  7. 12:17

  8. 10:41


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel