Das Problem liegt tiefer

Die Sicherheitslücke in jQuery File Upload Plugin (CVE-2018-9206) wurde mit der Version 9.22.1 geschlossen, alle Versionen davor sind von der Lücke betroffen. Durch die breite Verwendung des Programmcodes dürfte es aber sehr lange dauern, bis ein Großteil der entsprechenden Installationen gefixt ist.

Stellenmarkt
  1. Digitalkoordinator/in (w/m/d)
    Stadt NÜRNBERG, Nürnberg
  2. Senior IT-Projektmanager Cloud (m/w/d)
    BARMER, Wuppertal, Schwäbisch Gmünd
Detailsuche

Neben der umfangreichen Softwarepalette, die direkt von der Lücke betroffen ist, gibt es etliche Webapplikationen, die auf .htaccess-Dateien setzen, um Berechtigungsmodelle umzusetzen. So verbieten etliche Webapplikationen den Zugriff auf Dateien und Ordner mittels .htaccess-Dateien. Andere verbieten - ähnlich wie im beschriebenen Fall des jQuery-Plugins - den Upload von bestimmten Dateien oder das Ausführen von PHP- und anderem Programmcode. Dieser Schutz existiert auf vielen Systemen schlicht nicht. Sei es, weil sie mit den Standardeinstellungen des Apache Webservers laufen oder mit anderen Webservern wie Nginx oder Lighttpd betrieben werden.

Ein Beispiel ist die Webapplikation Magento, mit welcher Online-Shops betrieben werden können. Ihre Konfiguration wird in einer .xml-Datei abgelegt, die durch eine .htaccess-Datei abgesichert werden soll. Diese steht mit der Standardkonfiguration des Apache Webservers sowie anderen Webservern offen im Internet. Der Golem.de-Autor Hanno Böck wies die Magento-Entwickler im Juni 2017 auf das Problem hin, erhielt jedoch nie eine Antwort. Bei einem Scan der Alexa Top 1 Million Webseiten Mitte 2017 konnte bei 324 Onlineshops die Konfigurationsdatei ausgelesen werden.

Eine Lösung des Problems ist nicht in Sicht

Auch wenn der Webserver selbst betrieben und die Konfiguration gepflegt wird, können leicht Fehler passieren. So muss bei vielen Installationen von Webapplikationen die zentrale Konfiguration des Webservers angepasst werden und bei jedem Update überprüft werden. Dabei ist oft nicht einmal dokumentiert, welche Einstellungen gesetzt werden müssen. Haben Admins keinen Zugriff auf die Konfiguration und sind .htaccess-Dateien nicht erlaubt, können Webapplikationen häufig nicht sicher betrieben werden.

Golem Akademie
  1. Terraform mit AWS: virtueller Zwei-Tage-Workshop
    14.–15. Dezember 2021, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    10.–14. Januar 2022, Virtuell
Weitere IT-Trainings

Ende 2017 stellte die Free Software Foundation (FSF) fest, dass eine Drupal-Backup-Datei ihrer Defective-by-Design-Kampagne öffentlich zugänglich war. Im Rahmen eines Updates hatten die FSF-Admins vergessen, die Verwendung von .htaccess-Dateien in Apache zu aktivieren. Der .htaccess-Schutz des Backups entfiel und die Datei konnte öffentlich eingesehen werden.

Das jQuery File Upload Plugin liefert mittlerweile Sicherheitshinweise und Konfigurationssnippets für Apache und Nginx. Bleibt zu hoffen, dass mehr Webapplikationen ihre Nutzer bei der Installation auf die Konfiguration des Webservers hinweisen. Nutzer, die keinen Zugriff auf die Konfigurationsdateien haben, sind jedoch auch hier außen vor. Die Rechte- und Zugangskonfiguration von Webapplikationen bleibt weiter fragil.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt
  1.  
  2. 1
  3. 2


Vash 11. Nov 2018

Eine eindeutige Schuld ist keinem, bzw allen zuzuschreiben: der Entwickler der...

FreiGeistler 25. Okt 2018

Nicht dass ich die grosse Leuchte in solchen Dingen wäre, aber kann man sich das Setup...

ratti 23. Okt 2018

Ich baue seit Ende der 90er Webapplikationen. In der Zeit wäre mir kein einziger Apache...

Ninos 23. Okt 2018

Sollte bei professionelleren Projekten nicht so dramatisch sein, da das php-Skript zum...

mtr (golem.de) 23. Okt 2018

Hallo hemelin, Danke für den Hinweis. Haben wir geändert. LG Moritz



Aktuell auf der Startseite von Golem.de
Giga Factory Berlin
Warum Tesla auf über eine Milliarde Euro verzichten musste

Tesla kann die Milliarde Euro Förderung für die Akkufabrik Grünheide nicht beantragen - weil es sonst zu Verzögerungen beim Einsatz neuer Technik käme.

Giga Factory Berlin: Warum Tesla auf über eine Milliarde Euro verzichten musste
Artikel
  1. Elektroauto: Mercedes EQS 350 als Basisversion mit 90-kWh-Akku bestellbar
    Elektroauto
    Mercedes EQS 350 als Basisversion mit 90-kWh-Akku bestellbar

    Die Luxuslimousine Mercedes EQS kostet weniger als 100.000 Euro. Im EQS 350 steckt ein Akku mit 90 kWh, bei den Spitzenmodellen sind es 108 kWh.

  2. Doppelbildschirm: Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg
    Doppelbildschirm
    Kickstarterprojekt Slide brauchte 6 Jahre bis zum Erfolg

    Das Kickstarter-Projekt Slidenjoy kann nach 6 Jahren seinen Doppelbildschirm Slide für Notebooks ausliefern.

  3. Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.
     
    Black Friday 2021 - Deals am Cyber Monday bei Amazon & Co.

    Nach gut drei Wochen voller Rabatte und Schnäppchen endet heute Abend mit dem Cyber Monday die Black Friday Woche.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday Wochenende • WD Blue SN550 2 TB ab 149€ • LG UltraGear 34GP950G-B 999€ • SanDisk Ultra 3D 500 GB M.2 44€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops • Cooler Master V850 Platinum 189,90€ • Astro Gaming Headsets [Werbung]
    •  /