• IT-Karriere:
  • Services:

Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt

Ein jQuery-Plugin erlaubt es, unter bestimmten Bedingungen PHP-Dateien auf den Server zu laden und auszuführen. Das Problem sitzt jedoch tiefer: Viele Webapplikationen bauen auf den Schutz von Apaches .htaccess-Dateien. Der ist jedoch häufig wirkungslos.

Artikel veröffentlicht am ,
Viele Webapplikationen sind nicht abgesichert.
Viele Webapplikationen sind nicht abgesichert. (Bild: Fauno/CC0 1.0)

Der Mitarbeiter des CDN-Anbieters Akamai Larry Cashdollar entdeckte eine Sicherheitslücke in dem beliebten jQuery File Upload Plugin. Die Lücke in der Software erlaubt das Hochladen beliebiger Dateien, auch PHP-Dateien, mit denen Schadcode ausgeführt werden kann.

Inhalt:
  1. Webapplikationen: Sicherheitslücke in jQuery-Plugin wird aktiv ausgenutzt
  2. Das Problem liegt tiefer

Die Lücke wird bereits seit Jahren aktiv ausgenutzt. Eigentlich ist das Plugin über Einstellungen in einer .htaccess-Datei, mit der Einstellungen des Webservers Apache geändert werden können, vor dem Ausführen von PHP-Skripten geschützt. Dieser Schutz funktioniert jedoch in vielen Fällen nicht. Das Problem betrifft auch viele weitere Webapplikationen, die entweder den Code des jQuery File Upload Plugins verwenden oder ebenfalls auf den Schutz durch .htaccess-Dateien setzen.

Das Plugin ist das zweitbeliebteste jQuery-Projekt auf Github, nach jQuery selbst. Es wurde 7.800 mal geforkt. Sein Programmcode findet sich in Hunderten, wenn nicht Tausenden anderen Projekten, darunter Content Management Systems (CMS), Customer Relation Management Systems (CRM), verschiedenen Plugins für Wordpress oder Drupal, Joomla-Komponenten und vielen anderen. Entsprechend viele Systeme sind von der Sicherheitslücke betroffen.

.htaccess bietet nicht immer Schutz

Wie viele andere PHP-Webapplikationen setzte das Plugin auf .htaccess-Dateien, um die Dateien abzusichern. In .htaccces-Dateien können ordner- und dateispezifische Einstellungen für den Apache Webserver festgelegt werden. Das jQuery-Plugin verhindert beispielsweise über eine .htaccess-Datei, dass PHP-Skripte im Kontext der Webseite ausgeführt werden können.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. allsafe GmbH & Co.KG, Engen

Seit der im November 2010 erschienen Version 2.3.9 des Apache Webservers werden die .htaccess-Dateien allerdings in den Standardeinstellungen nicht mehr beachtet. Das hat zwei einfache Gründe: Zum einen leidet die Performance des Servers, wenn bei jedem Zugriff auf einen Ordner zusätzlich .htaccess-Dateien abgefragt werden müssen, zum anderen können mit den Dateien auch Sicherheitseinstellungen des Servers umgangen werden, was sich zudem von Admins schlecht kontrollieren lässt.

Kurz: Alle Versionen des jQuery File Upload Plugins, die nicht mit einem Apache Webserver mit aktivierter .htaccess-Unterstützung betrieben wurden, waren verwundbar.

Der Sicherheitsforscher Cashdollar war jedoch mitnichten der Erste, der die Lücke entdeckte: Auf Youtube lassen sich Tutorials zum Ausnutzen der Sicherheitslücke finden, die bis ins Jahr 2015 zurückreichen. Ein großes Geheimnis war die Lücke also eigentlich nicht, allerdings waren weder Sicherheitsforscher, noch der Entwickler Sebastian Tschan oder einer der zahlreichen Forks auf die Lücke aufmerksam geworden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Das Problem liegt tiefer 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 89,90€ + Versand (Vergleichspreis 135,77€ + Versand)
  2. (heute Logitech G332 für 29€ statt 39,99€ im Vergleich)
  3. (aktuell u. a. Acer Predator XB271HA für 349€ + Versand)
  4. (u. a. Xbox Game Pass - 3 Monate für 14,99€, Conan Exiles für 13,99€ und Need for Speed Heat...

Vash 11. Nov 2018

Eine eindeutige Schuld ist keinem, bzw allen zuzuschreiben: der Entwickler der...

FreiGeistler 25. Okt 2018

Nicht dass ich die grosse Leuchte in solchen Dingen wäre, aber kann man sich das Setup...

ratti 23. Okt 2018

Ich baue seit Ende der 90er Webapplikationen. In der Zeit wäre mir kein einziger Apache...

Ninos 23. Okt 2018

Sollte bei professionelleren Projekten nicht so dramatisch sein, da das php-Skript zum...

mtr (golem.de) 23. Okt 2018

Hallo hemelin, Danke für den Hinweis. Haben wir geändert. LG Moritz


Folgen Sie uns
       


Amazons FireTV Cube mit Sprachsteuerung - Test

Der Fire TV Cube ist mehr als ein Fire-TV-Modell. Er kann auf Zuruf gesteuert werden und wir zeigen im Video, wie gut das gelöst ist.

Amazons FireTV Cube mit Sprachsteuerung - Test Video aufrufen
VW-Logistikplattform Rio: Mehr Fracht transportieren mit weniger Lkw
VW-Logistikplattform Rio
Mehr Fracht transportieren mit weniger Lkw

Im Online-Handel ist das Tracking einer Bestellung längst Realität. In der Speditionsbranche sieht es oft anders aus: Silo-Denken, viele Kleinunternehmen und Vorbehalte gegenüber der Digitalisierung bremsen den Fortschritt. Das möchte Rio mit seiner Cloud-Lösung und niedrigen Preisen ändern.
Ein Bericht von Dirk Kunde

  1. Vernetzte Mobilität Verkehrsunternehmen könnten Datenaustauschpflicht bekommen
  2. Studie Uber und Lyft verschlechtern den Stadtverkehr
  3. Diesel-Ersatz Baden-Württemberg beschafft Akku-Elektrotriebzüge Mireo

Apple-Betriebssysteme: Ein Upgrade mit Schmerzen
Apple-Betriebssysteme
Ein Upgrade mit Schmerzen

Es sollte alles super werden, stattdessen kommen seit MacOS Catalina, dem neuen iOS und iPadOS weder Apple noch Entwickler und Nutzer zur Ruhe. Golem.de hat mit vier Entwicklern über ihre Erfahrungen mit der Systemumstellung gesprochen.
Ein Bericht von Jan Rähm

  1. Betriebssystem Apple veröffentlicht MacOS Catalina
  2. Catalina Apple will Skriptsprachen wie Python aus MacOS entfernen
  3. Apple MacOS wechselt von Bash auf ZSH als Standard-Shell

Quantencomputer: Intel entwickelt coolen Chip für heiße Quantenbits
Quantencomputer
Intel entwickelt coolen Chip für heiße Quantenbits

Gebaut für eine Kühlung mit flüssigem Helium ist Horse Ridge wohl der coolste Chip, den Intel zur Zeit in Entwicklung hat. Er soll einen Quantencomputer steuern, dessen Qubits mit ungewöhnlich hohen Temperaturen zurechtkommen.
Von Frank Wunderlich-Pfeiffer

  1. AWS re:Invent Amazon Web Services bietet Quanten-Cloud-Dienst an
  2. Quantencomputer 10.000 Jahre bei Google sind 2,5 Tage bei IBM
  3. Google Ein Quantencomputer zeigt, was derzeit geht und was nicht

    •  /