• IT-Karriere:
  • Services:

Das Problem liegt tiefer

Die Sicherheitslücke in jQuery File Upload Plugin (CVE-2018-9206) wurde mit der Version 9.22.1 geschlossen, alle Versionen davor sind von der Lücke betroffen. Durch die breite Verwendung des Programmcodes dürfte es aber sehr lange dauern, bis ein Großteil der entsprechenden Installationen gefixt ist.

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Stadt Erlangen, Erlangen

Neben der umfangreichen Softwarepalette, die direkt von der Lücke betroffen ist, gibt es etliche Webapplikationen, die auf .htaccess-Dateien setzen, um Berechtigungsmodelle umzusetzen. So verbieten etliche Webapplikationen den Zugriff auf Dateien und Ordner mittels .htaccess-Dateien. Andere verbieten - ähnlich wie im beschriebenen Fall des jQuery-Plugins - den Upload von bestimmten Dateien oder das Ausführen von PHP- und anderem Programmcode. Dieser Schutz existiert auf vielen Systemen schlicht nicht. Sei es, weil sie mit den Standardeinstellungen des Apache Webservers laufen oder mit anderen Webservern wie Nginx oder Lighttpd betrieben werden.

Ein Beispiel ist die Webapplikation Magento, mit welcher Online-Shops betrieben werden können. Ihre Konfiguration wird in einer .xml-Datei abgelegt, die durch eine .htaccess-Datei abgesichert werden soll. Diese steht mit der Standardkonfiguration des Apache Webservers sowie anderen Webservern offen im Internet. Der Golem.de-Autor Hanno Böck wies die Magento-Entwickler im Juni 2017 auf das Problem hin, erhielt jedoch nie eine Antwort. Bei einem Scan der Alexa Top 1 Million Webseiten Mitte 2017 konnte bei 324 Onlineshops die Konfigurationsdatei ausgelesen werden.

Eine Lösung des Problems ist nicht in Sicht

Auch wenn der Webserver selbst betrieben und die Konfiguration gepflegt wird, können leicht Fehler passieren. So muss bei vielen Installationen von Webapplikationen die zentrale Konfiguration des Webservers angepasst werden und bei jedem Update überprüft werden. Dabei ist oft nicht einmal dokumentiert, welche Einstellungen gesetzt werden müssen. Haben Admins keinen Zugriff auf die Konfiguration und sind .htaccess-Dateien nicht erlaubt, können Webapplikationen häufig nicht sicher betrieben werden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Ende 2017 stellte die Free Software Foundation (FSF) fest, dass eine Drupal-Backup-Datei ihrer Defective-by-Design-Kampagne öffentlich zugänglich war. Im Rahmen eines Updates hatten die FSF-Admins vergessen, die Verwendung von .htaccess-Dateien in Apache zu aktivieren. Der .htaccess-Schutz des Backups entfiel und die Datei konnte öffentlich eingesehen werden.

Das jQuery File Upload Plugin liefert mittlerweile Sicherheitshinweise und Konfigurationssnippets für Apache und Nginx. Bleibt zu hoffen, dass mehr Webapplikationen ihre Nutzer bei der Installation auf die Konfiguration des Webservers hinweisen. Nutzer, die keinen Zugriff auf die Konfigurationsdateien haben, sind jedoch auch hier außen vor. Die Rechte- und Zugangskonfiguration von Webapplikationen bleibt weiter fragil.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. mit 499€ neuer Bestpreis auf Geizhals
  2. (u. a. Stellaris - Galaxy Edition für 4,19€, Stellaris - Distant Stars Story Pack (DLC) für 2...
  3. 3.999€ statt 4.699€
  4. (u. a. Alita - Battle Angel + 3D für 21,99€, Le Mans 66: Gegen jede Chance für 19,99€, Der...

Vash 11. Nov 2018

Eine eindeutige Schuld ist keinem, bzw allen zuzuschreiben: der Entwickler der...

FreiGeistler 25. Okt 2018

Nicht dass ich die grosse Leuchte in solchen Dingen wäre, aber kann man sich das Setup...

ratti 23. Okt 2018

Ich baue seit Ende der 90er Webapplikationen. In der Zeit wäre mir kein einziger Apache...

Ninos 23. Okt 2018

Sollte bei professionelleren Projekten nicht so dramatisch sein, da das php-Skript zum...

mtr (golem.de) 23. Okt 2018

Hallo hemelin, Danke für den Hinweis. Haben wir geändert. LG Moritz


Folgen Sie uns
       


Sega Mega Drive (1990) - Golem retro_

Mit Mega-Power sagte Sega 1990 der Konkurrenz den Kampf an. Im Golem retro_ holen wir uns die Spielhalle nach Hause.

Sega Mega Drive (1990) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /