• IT-Karriere:
  • Services:

Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

In zahlreichen Java-Projekten werden Abhängigkeiten ungeprüft über HTTP ohne TLS heruntergeladen. Ein Netzwerkangreifer kann dadurch trivial die Downloads manipulieren und Schadcode ausführen.

Artikel veröffentlicht am ,
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen.
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen. (Bild: Tmthetom/Wikimedia Commons/CC-BY-SA 4.0)

Viele prominente Java-Projekte können beim Build-Vorgang angegriffen werden. Der Sicherheitsforscher Jonathan Leitschuh berichtet darüber in einem Blogpost. Java-Buildsyseme wie Maven oder Gradle nutzen oft HTTP-URLs, um auf Abhängigkeiten zu verweisen.

Stellenmarkt
  1. HERMA GmbH, Filderstadt
  2. Etkon GmbH, Gräfelfing

Vor fünf Jahren gab es bereits eine Diskussion über unsichere Software-Downloads von Maven. Daraufhin führte Sonatype, der Betreiber des zentralen Maven-Repositories, sichere HTTPS-Downloads ein.

Abhängigkeiten mittels HTTP-URLs referenziert

Bei Maven ist es üblich, Abhängigkeiten direkt als URL anzugeben. Auch wenn die Downloads über HTTPS bereitstehen: Wenn die Projekte die URL weiterhin als HTTP angeben, sind sie immer noch verwundbar. Ähnliches gilt für andere Java-Build-Systeme.

Jonathan Leitschuh suchte nach solchen Fällen und wurde fast überall fündig. Auch prominente Java-Projekte, beispielsweise das Continuous-Integration-System Jenkins oder Teile der Entwicklungsumgebung Eclipse, nutzten HTTP-Downloads für ihre Abhängigkeiten.

Konkret bedeutet das, dass mit einem Man-in-the-Middle-Angriff die heruntergeladenen Pakete ausgetauscht und mit Schadcode versehen werden können. Ein Netzwerkangreifer hat also eine relativ simple Möglichkeit, Code auf den Rechnern von Java-Entwicklern auszuführen.

Zumindest für das zentrale Maven-Repository sollen HTTP-Downloads bald ganz verschwinden. Ab Januar 2020 wird dort die Unterstützung für HTTP abgeschaltet und Pakete können nur noch über HTTPS heruntergeladen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  2. 749€
  3. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)

ernstl 11. Jun 2019

Hab ich irgendwo die Kritikalität des Problems bewertet? Wenn ja, dann unbeabsichtigt...


Folgen Sie uns
       


Audi RS E-Tron GT Probe gefahren

Audis E-Tron GT ist das bislang PS-stärkste RS-Modell auf dem Markt.

Audi RS E-Tron GT Probe gefahren Video aufrufen
Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

No One Lives Forever: Ein Retrogamer stirbt nie
No One Lives Forever
Ein Retrogamer stirbt nie

Kompatibilitätsprobleme und schlimme Sprachausgabe - egal. Golem.de hat den 20 Jahre alten Shooter-Klassiker No One Lives Forever trotzdem neu gespielt.
Von Benedikt Plass-Fleßenkämper

  1. Heimcomputer Retro Games plant Amiga-500-Nachbau
  2. Klassische Spielkonzepte Retro, brandneu
  3. Gaming-Handheld Analogue Pocket erscheint erst 2021

Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge

    •  /