Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

In zahlreichen Java -Projekten werden Abhängigkeiten ungeprüft über HTTP ohne TLS heruntergeladen. Ein Netzwerkangreifer kann dadurch trivial die Downloads manipulieren und Schadcode ausführen.
/ Hanno Böck
3 Kommentare News folgen (öffnet im neuen Fenster)
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen. (Bild: Tmthetom/Wikimedia Commons)
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen. Bild: Tmthetom/Wikimedia Commons / CC-BY-SA 4.0

Viele prominente Java-Projekte können beim Build-Vorgang angegriffen werden. Der Sicherheitsforscher Jonathan Leitschuh berichtet darüber in einem Blogpost(öffnet im neuen Fenster) . Java-Buildsyseme wie Maven oder Gradle nutzen oft HTTP-URLs, um auf Abhängigkeiten zu verweisen.

Vor fünf Jahren gab es bereits eine Diskussion über unsichere Software-Downloads von Maven(öffnet im neuen Fenster) . Daraufhin führte Sonatype, der Betreiber des zentralen Maven-Repositories, sichere HTTPS-Downloads ein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Service Manager (m/w/d) Simon Hegele Gesellschaft für Logistik und Service mbH, Karlsdorf-Neuthard,Homeoffice (öffnet im neuen Fenster)
Bankorganisator für IKT-Management und Künstliche Intelligenz (m/w/d) Raiffeisen-Volksbank Donauwörth eG, Donauwörth (öffnet im neuen Fenster)
Anwendungsbetreuer EPLAN P8 (m/w/d) KHS GmbH, Bad Kreuznach (öffnet im neuen Fenster)
Zahntechnikermeister (m/w/d) für Laborleitung und Mitarbeit im Bereich CAD/CAM und Keramik Prodental K.S. GmbH & Co. KG, Berlin (öffnet im neuen Fenster)
Applikations-Softwareentwickler (m/w/d): Wägesysteme SysTec Systemtechnik und Industrieautomation GmbH, Bergheim (öffnet im neuen Fenster)
Wissenschaftliche/-r Mitarbeiter/-in Datenschutz (w/m/d) im Referat »Querschnitts- und Steuerungsaufgaben« (F1-QueSt)« Statistisches Bundesamt, Wiesbaden (öffnet im neuen Fenster)
Senior Python Engineer (m/w/d) Tenhil GmbH & Co. KG, Leipzig (öffnet im neuen Fenster)
Senior Account Manager ITK (w/m/d) Telcat Multicom GmbH, München,Nürnberg (öffnet im neuen Fenster)

Abhängigkeiten mittels HTTP-URLs referenziert

Bei Maven ist es üblich, Abhängigkeiten direkt als URL anzugeben. Auch wenn die Downloads über HTTPS bereitstehen: Wenn die Projekte die URL weiterhin als HTTP angeben, sind sie immer noch verwundbar. Ähnliches gilt für andere Java-Build-Systeme.

Jonathan Leitschuh suchte nach solchen Fällen und wurde fast überall fündig. Auch prominente Java-Projekte, beispielsweise das Continuous-Integration-System Jenkins oder Teile der Entwicklungsumgebung Eclipse, nutzten HTTP-Downloads für ihre Abhängigkeiten.

Konkret bedeutet das, dass mit einem Man-in-the-Middle-Angriff die heruntergeladenen Pakete ausgetauscht und mit Schadcode versehen werden können. Ein Netzwerkangreifer hat also eine relativ simple Möglichkeit, Code auf den Rechnern von Java-Entwicklern auszuführen.

Zumindest für das zentrale Maven-Repository sollen HTTP-Downloads bald ganz verschwinden. Ab Januar 2020 wird dort die Unterstützung für HTTP abgeschaltet(öffnet im neuen Fenster) und Pakete können nur noch über HTTPS heruntergeladen werden.

Zur Startseite 3 Kommentare

Relevante Themen

VerschlüsselungOpen SourceSoftwareSoftwareentwicklungSecurityCybercrimeWissenInnovation & ForschungTechnologie