• IT-Karriere:
  • Services:

Das Problem liegt tiefer

Die Sicherheitslücke in jQuery File Upload Plugin (CVE-2018-9206) wurde mit der Version 9.22.1 geschlossen, alle Versionen davor sind von der Lücke betroffen. Durch die breite Verwendung des Programmcodes dürfte es aber sehr lange dauern, bis ein Großteil der entsprechenden Installationen gefixt ist.

Stellenmarkt
  1. ServiceXpert Gesellschaft für Service-Informationssysteme mbH, Hamburg
  2. Technische Universität Berlin, Berlin

Neben der umfangreichen Softwarepalette, die direkt von der Lücke betroffen ist, gibt es etliche Webapplikationen, die auf .htaccess-Dateien setzen, um Berechtigungsmodelle umzusetzen. So verbieten etliche Webapplikationen den Zugriff auf Dateien und Ordner mittels .htaccess-Dateien. Andere verbieten - ähnlich wie im beschriebenen Fall des jQuery-Plugins - den Upload von bestimmten Dateien oder das Ausführen von PHP- und anderem Programmcode. Dieser Schutz existiert auf vielen Systemen schlicht nicht. Sei es, weil sie mit den Standardeinstellungen des Apache Webservers laufen oder mit anderen Webservern wie Nginx oder Lighttpd betrieben werden.

Ein Beispiel ist die Webapplikation Magento, mit welcher Online-Shops betrieben werden können. Ihre Konfiguration wird in einer .xml-Datei abgelegt, die durch eine .htaccess-Datei abgesichert werden soll. Diese steht mit der Standardkonfiguration des Apache Webservers sowie anderen Webservern offen im Internet. Der Golem.de-Autor Hanno Böck wies die Magento-Entwickler im Juni 2017 auf das Problem hin, erhielt jedoch nie eine Antwort. Bei einem Scan der Alexa Top 1 Million Webseiten Mitte 2017 konnte bei 324 Onlineshops die Konfigurationsdatei ausgelesen werden.

Eine Lösung des Problems ist nicht in Sicht

Auch wenn der Webserver selbst betrieben und die Konfiguration gepflegt wird, können leicht Fehler passieren. So muss bei vielen Installationen von Webapplikationen die zentrale Konfiguration des Webservers angepasst werden und bei jedem Update überprüft werden. Dabei ist oft nicht einmal dokumentiert, welche Einstellungen gesetzt werden müssen. Haben Admins keinen Zugriff auf die Konfiguration und sind .htaccess-Dateien nicht erlaubt, können Webapplikationen häufig nicht sicher betrieben werden.

Ende 2017 stellte die Free Software Foundation (FSF) fest, dass eine Drupal-Backup-Datei ihrer Defective-by-Design-Kampagne öffentlich zugänglich war. Im Rahmen eines Updates hatten die FSF-Admins vergessen, die Verwendung von .htaccess-Dateien in Apache zu aktivieren. Der .htaccess-Schutz des Backups entfiel und die Datei konnte öffentlich eingesehen werden.

Das jQuery File Upload Plugin liefert mittlerweile Sicherheitshinweise und Konfigurationssnippets für Apache und Nginx. Bleibt zu hoffen, dass mehr Webapplikationen ihre Nutzer bei der Installation auf die Konfiguration des Webservers hinweisen. Nutzer, die keinen Zugriff auf die Konfigurationsdateien haben, sind jedoch auch hier außen vor. Die Rechte- und Zugangskonfiguration von Webapplikationen bleibt weiter fragil.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

Vash 11. Nov 2018

Eine eindeutige Schuld ist keinem, bzw allen zuzuschreiben: der Entwickler der...

FreiGeistler 25. Okt 2018

Nicht dass ich die grosse Leuchte in solchen Dingen wäre, aber kann man sich das Setup...

ratti 23. Okt 2018

Ich baue seit Ende der 90er Webapplikationen. In der Zeit wäre mir kein einziger Apache...

Ninos 23. Okt 2018

Sollte bei professionelleren Projekten nicht so dramatisch sein, da das php-Skript zum...

mtr (golem.de) 23. Okt 2018

Hallo hemelin, Danke für den Hinweis. Haben wir geändert. LG Moritz


Folgen Sie uns
       


IT-Freelancer: Der kürzeste Pfad zum nächsten Projekt
IT-Freelancer
Der kürzeste Pfad zum nächsten Projekt

Die Nachfrage nach IT-Freelancern ist groß - die Konkurrenz aber auch. Der nächste Auftrag kommt meist aus dem eigenen Netzwerk oder von Vermittlern. Doch wie findet man den passenden Mix?
Ein Bericht von Manuel Heckel

  1. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Poco X3 NFC im Test: Xiaomis neuer Preisbrecher überzeugt
Poco X3 NFC im Test
Xiaomis neuer Preisbrecher überzeugt

Das Poco X3 NFC ist Xiaomis jüngstes preiswertes Smartphone, die Ausstattung verspricht angesichts des Preises einiges - und hält etliches.
Ein Test von Tobias Költzsch

  1. Xiaomi Neues Poco-Smartphone mit Vierfachkamera kostet 200 Euro
  2. Smartphone Xiaomi stellt dritte Generation verdeckter Frontkameras vor
  3. Xiaomi Mi 10 Ultra kommt mit 120-Watt-Schnellladen

Geforce RTX 3080: Wir legen die Karten offen
Geforce RTX 3080
Wir legen die Karten offen

Am 16. September 2020 geht der Test der Geforce RTX 3080 online. Wir zeigen vorab, welche Grafikkarten und welche Spiele wir einsetzen werden.

  1. Ethereum-Mining Nvidias Ampere-Karten könnten Crypto-Boom auslösen
  2. Gaming Warum DLSS das bessere 8K ist
  3. Nvidia Ampere Geforce RTX 3000 verdoppeln Gaming-Leistung

    •  /