Das Problem liegt tiefer

Die Sicherheitslücke in jQuery File Upload Plugin (CVE-2018-9206) wurde mit der Version 9.22.1 geschlossen, alle Versionen davor sind von der Lücke betroffen. Durch die breite Verwendung des Programmcodes dürfte es aber sehr lange dauern, bis ein Großteil der entsprechenden Installationen gefixt ist.

Stellenmarkt
  1. IT-Systemtechniker (m/w/d)
    Senior Flexonics GmbH, Kassel
  2. IT-Projektmanager:in in Leitungsfunktion (m/w/d)
    SWT-AöR, Trier
Detailsuche

Neben der umfangreichen Softwarepalette, die direkt von der Lücke betroffen ist, gibt es etliche Webapplikationen, die auf .htaccess-Dateien setzen, um Berechtigungsmodelle umzusetzen. So verbieten etliche Webapplikationen den Zugriff auf Dateien und Ordner mittels .htaccess-Dateien. Andere verbieten - ähnlich wie im beschriebenen Fall des jQuery-Plugins - den Upload von bestimmten Dateien oder das Ausführen von PHP- und anderem Programmcode. Dieser Schutz existiert auf vielen Systemen schlicht nicht. Sei es, weil sie mit den Standardeinstellungen des Apache Webservers laufen oder mit anderen Webservern wie Nginx oder Lighttpd betrieben werden.

Ein Beispiel ist die Webapplikation Magento, mit welcher Online-Shops betrieben werden können. Ihre Konfiguration wird in einer .xml-Datei abgelegt, die durch eine .htaccess-Datei abgesichert werden soll. Diese steht mit der Standardkonfiguration des Apache Webservers sowie anderen Webservern offen im Internet. Der Golem.de-Autor Hanno Böck wies die Magento-Entwickler im Juni 2017 auf das Problem hin, erhielt jedoch nie eine Antwort. Bei einem Scan der Alexa Top 1 Million Webseiten Mitte 2017 konnte bei 324 Onlineshops die Konfigurationsdatei ausgelesen werden.

Eine Lösung des Problems ist nicht in Sicht

Auch wenn der Webserver selbst betrieben und die Konfiguration gepflegt wird, können leicht Fehler passieren. So muss bei vielen Installationen von Webapplikationen die zentrale Konfiguration des Webservers angepasst werden und bei jedem Update überprüft werden. Dabei ist oft nicht einmal dokumentiert, welche Einstellungen gesetzt werden müssen. Haben Admins keinen Zugriff auf die Konfiguration und sind .htaccess-Dateien nicht erlaubt, können Webapplikationen häufig nicht sicher betrieben werden.

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.02.2023, Virtuell
  2. Green IT: Praxisratgeber zur nachhaltigen IT-Nutzung (virtueller Ein-Tages-Workshop)
    14.03.2023, virtuell
Weitere IT-Trainings

Ende 2017 stellte die Free Software Foundation (FSF) fest, dass eine Drupal-Backup-Datei ihrer Defective-by-Design-Kampagne öffentlich zugänglich war. Im Rahmen eines Updates hatten die FSF-Admins vergessen, die Verwendung von .htaccess-Dateien in Apache zu aktivieren. Der .htaccess-Schutz des Backups entfiel und die Datei konnte öffentlich eingesehen werden.

Das jQuery File Upload Plugin liefert mittlerweile Sicherheitshinweise und Konfigurationssnippets für Apache und Nginx. Bleibt zu hoffen, dass mehr Webapplikationen ihre Nutzer bei der Installation auf die Konfiguration des Webservers hinweisen. Nutzer, die keinen Zugriff auf die Konfigurationsdateien haben, sind jedoch auch hier außen vor. Die Rechte- und Zugangskonfiguration von Webapplikationen bleibt weiter fragil.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt
  1.  
  2. 1
  3. 2


Vash 11. Nov 2018

Eine eindeutige Schuld ist keinem, bzw allen zuzuschreiben: der Entwickler der...

FreiGeistler 25. Okt 2018

Nicht dass ich die grosse Leuchte in solchen Dingen wäre, aber kann man sich das Setup...

ratti 23. Okt 2018

Ich baue seit Ende der 90er Webapplikationen. In der Zeit wäre mir kein einziger Apache...

Ninos 23. Okt 2018

Sollte bei professionelleren Projekten nicht so dramatisch sein, da das php-Skript zum...



Aktuell auf der Startseite von Golem.de
Bundesarbeitsgericht
Arbeitgeber müssen Arbeitszeiten zwingend erfassen

Das vollständige Urteil des BAG zur Arbeitszeiterfassung liegt nun vor. Diese muss zwingend erfolgen, aber nicht unbedingt elektronisch.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeiten zwingend erfassen
Artikel
  1. Cyberkriminalität: Jeder vierte Jugendliche ist ein Internettroll
    Cyberkriminalität
    Jeder vierte Jugendliche ist ein Internettroll

    Einer Umfrage zufolge ist bedenkliches bis illegales Verhalten von Jugendlichen im Internet zur Normalität geworden. In Deutschland ist der Anteil sehr hoch.

  2. I am Jesus Christ angespielt: Der Jesus-Simulator lässt uns vom Glauben abfallen
    I am Jesus Christ angespielt
    Der Jesus-Simulator lässt uns vom Glauben abfallen

    Kein Scherz, keine geplante Gotteslästerung: In I am Jesus Christ treten wir als Heiland an. Golem.de hat den kostenlosen Prolog ausprobiert.
    Von Peter Steinlechner

  3. ChatGPT: Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann
    ChatGPT
    Der geniale Bösewicht-Chatbot mit Stackoverflow-Bann

    ChatGPT scheint zu gut, um wahr zu sein. Der Chatbot wird von Nutzern an die (legalen) Grenzen getrieben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • NBB: Samsung Odyssey G5 WQHD/165 Hz 203,89€ u. Odyssey G9 49"/DQHD/240Hz 849,90€ • ViewSonic VX3258 WQHD/144 Hz 229,90€ • Elgato Cam Link Pro 146,89€ • Mindstar: Alphacool Eiswolf 2 AiO 360 199€ • Alternate: Tt eSPORTS Ventus X Plus 31,98€ • 4x Philips Hue White Ambiance 49,99€ [Werbung]
    •  /