Abo
  • IT-Karriere:

Paketmanagement: Java-Dependencies über unsichere HTTP-Downloads

In zahlreichen Java-Projekten werden Abhängigkeiten ungeprüft über HTTP ohne TLS heruntergeladen. Ein Netzwerkangreifer kann dadurch trivial die Downloads manipulieren und Schadcode ausführen.

Artikel veröffentlicht am ,
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen.
Java-Buildsysteme sind für Netzwerkangreifer ein lohnendes Ziel: Vielfach werden Abhängigkeiten über HTTP heruntergeladen. (Bild: Tmthetom/Wikimedia Commons/CC-BY-SA 4.0)

Viele prominente Java-Projekte können beim Build-Vorgang angegriffen werden. Der Sicherheitsforscher Jonathan Leitschuh berichtet darüber in einem Blogpost. Java-Buildsyseme wie Maven oder Gradle nutzen oft HTTP-URLs, um auf Abhängigkeiten zu verweisen.

Stellenmarkt
  1. 1WorldSync GmbH, Köln
  2. Josef Kränzle GmbH & Co. KG, Illertissen

Vor fünf Jahren gab es bereits eine Diskussion über unsichere Software-Downloads von Maven. Daraufhin führte Sonatype, der Betreiber des zentralen Maven-Repositories, sichere HTTPS-Downloads ein.

Abhängigkeiten mittels HTTP-URLs referenziert

Bei Maven ist es üblich, Abhängigkeiten direkt als URL anzugeben. Auch wenn die Downloads über HTTPS bereitstehen: Wenn die Projekte die URL weiterhin als HTTP angeben, sind sie immer noch verwundbar. Ähnliches gilt für andere Java-Build-Systeme.

Jonathan Leitschuh suchte nach solchen Fällen und wurde fast überall fündig. Auch prominente Java-Projekte, beispielsweise das Continuous-Integration-System Jenkins oder Teile der Entwicklungsumgebung Eclipse, nutzten HTTP-Downloads für ihre Abhängigkeiten.

Konkret bedeutet das, dass mit einem Man-in-the-Middle-Angriff die heruntergeladenen Pakete ausgetauscht und mit Schadcode versehen werden können. Ein Netzwerkangreifer hat also eine relativ simple Möglichkeit, Code auf den Rechnern von Java-Entwicklern auszuführen.

Zumindest für das zentrale Maven-Repository sollen HTTP-Downloads bald ganz verschwinden. Ab Januar 2020 wird dort die Unterstützung für HTTP abgeschaltet und Pakete können nur noch über HTTPS heruntergeladen werden.



Anzeige
Hardware-Angebote
  1. 309,00€
  2. (reduzierte Überstände, Restposten & Co.)

ernstl 11. Jun 2019 / Themenstart

Hab ich irgendwo die Kritikalität des Problems bewertet? Wenn ja, dann unbeabsichtigt...

Kommentieren


Folgen Sie uns
       


Days Gone - Fazit

In Days Gone sind wir als Rocker Deacon St. John im zerstörten Oregon unterwegs und erleben das ganz große Abenteuer.

Days Gone - Fazit Video aufrufen
Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    Webbrowser: Das Tracking ist tot, es lebe das Tracking
    Webbrowser
    Das Tracking ist tot, es lebe das Tracking

    Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
    Eine Analyse von Sebastian Grüner

    1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
    2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
    3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

    DIN 2137-T2-Layout ausprobiert: Die Tastatur mit dem großen ß
    DIN 2137-T2-Layout ausprobiert
    Die Tastatur mit dem großen ß

    Das ẞ ist schon lange erlaubt, aber nur schwer zu finden. Europatastaturen sollen das erleichtern, sind aber ebenfalls nur schwer zu finden. Wir haben ein Modell von Cherry ausprobiert - und noch viele weitere Sonderzeichen entdeckt.
    Von Andreas Sebayang und Tobias Költzsch

    1. Butterfly 3 Apple entschuldigt sich für Problem-Tastatur
    2. Sicherheitslücke Funktastatur nimmt Befehle von Angreifern entgegen
    3. Azio Retro Classic im Test Außergewöhnlicher Tastatur-Koloss aus Kupfer und Leder

      •  /