Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

In zahlreichen Java-Projekten werden Abhängigkeiten ungeprüft über HTTP ohne TLS heruntergeladen. Ein Netzwerkangreifer kann dadurch trivial die Downloads manipulieren und Schadcode ausführen.

Artikel veröffentlicht am ,
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen.
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen. (Bild: Tmthetom/Wikimedia Commons/CC-BY-SA 4.0)

Viele prominente Java-Projekte können beim Build-Vorgang angegriffen werden. Der Sicherheitsforscher Jonathan Leitschuh berichtet darüber in einem Blogpost. Java-Buildsyseme wie Maven oder Gradle nutzen oft HTTP-URLs, um auf Abhängigkeiten zu verweisen.

Stellenmarkt
  1. IT-Administrator (m/w/d) für Kommunikations- und Kollaborationslösungen
    Beckhoff Automation GmbH & Co. KG, Verl
  2. IT-Systembetreuer (m/w/d)
    Keller Lufttechnik GmbH & Co.KG, Kirchheim
Detailsuche

Vor fünf Jahren gab es bereits eine Diskussion über unsichere Software-Downloads von Maven. Daraufhin führte Sonatype, der Betreiber des zentralen Maven-Repositories, sichere HTTPS-Downloads ein.

Abhängigkeiten mittels HTTP-URLs referenziert

Bei Maven ist es üblich, Abhängigkeiten direkt als URL anzugeben. Auch wenn die Downloads über HTTPS bereitstehen: Wenn die Projekte die URL weiterhin als HTTP angeben, sind sie immer noch verwundbar. Ähnliches gilt für andere Java-Build-Systeme.

Jonathan Leitschuh suchte nach solchen Fällen und wurde fast überall fündig. Auch prominente Java-Projekte, beispielsweise das Continuous-Integration-System Jenkins oder Teile der Entwicklungsumgebung Eclipse, nutzten HTTP-Downloads für ihre Abhängigkeiten.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
  2. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    03.–04. Februar 2022, Virtuell
Weitere IT-Trainings

Konkret bedeutet das, dass mit einem Man-in-the-Middle-Angriff die heruntergeladenen Pakete ausgetauscht und mit Schadcode versehen werden können. Ein Netzwerkangreifer hat also eine relativ simple Möglichkeit, Code auf den Rechnern von Java-Entwicklern auszuführen.

Zumindest für das zentrale Maven-Repository sollen HTTP-Downloads bald ganz verschwinden. Ab Januar 2020 wird dort die Unterstützung für HTTP abgeschaltet und Pakete können nur noch über HTTPS heruntergeladen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Rocket 1
3D-Druck vom Kopf auf die Füße gestellt

Eine der interessantesten Crowdfunding-Kampagnen für 3D-Drucker seit Jahren lässt einige wichtige Fragen offen.
Von Elias Dinter

Rocket 1: 3D-Druck vom Kopf auf die Füße gestellt
Artikel
  1. Western Digital: WD schließt kritische Lücken auf externen Laufwerken
    Western Digital
    WD schließt kritische Lücken auf externen Laufwerken

    Das My Cloud OS 3 auf älteren externen HDDs und Laufwerken ist unsicher. Western Digital schließt zumindest vier Sicherheitslücken.

  2. Bonanza Mine (BZM2): Intel hat ersten Kunden für eigenen Bitcoin-Chip
    Bonanza Mine (BZM2)
    Intel hat ersten Kunden für eigenen Bitcoin-Chip

    Mit dem Bonanza Mine entwickelt Intel ein eigenes Bitcoin-ASIC, was besonders effizient beim Schürfen der Kryptowährung sein soll.

  3. Amazon Alexa: Neuer Echo Show 15 mit Personenerkennung kommt im Februar
    Amazon Alexa
    Neuer Echo Show 15 mit Personenerkennung kommt im Februar

    Mit dem Echo Show 15 will Amazon smarte Displays neu erfinden. Der Alexa-Neuling soll auf eine Nutzung durch mehrere Personen hin optimiert sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • Roccat Gaming-Tastatur 105€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate Deals (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /