• IT-Karriere:
  • Services:

Schwieriger Disclosure-Prozess

Wir haben versucht, die Betreiber der betroffenen Webseiten zu erreichen. Bei Hunderten von Betroffenen ist es allerdings kaum praktikabel, diese manuell zu informieren. Die Firma Abusix bietet für derartige Zwecke jedoch einen interessanten Service an: Mittels einer DNS-Anfrage kann man dort zu einer IP-Adresse den passenden Abuse-Kontakt herausfinden.

Stellenmarkt
  1. Arburg GmbH & Co. KG, Loßburg
  2. PHOENIX Pharmahandel GmbH & Co KG, Mannheim, Fürth

Wir haben neben anderen Versuchen alle Abuse-Kontakte der IPs, die zu den entsprechenden Webseiten gehören, informiert. In vielen Fällen wurden die Coredumps anschließend gelöscht, doch viele Nachrichten wurden auch ignoriert. Erstaunlich viele Webseiten hatten zudem Abuse-Adressen, die nicht erreichbar waren oder gar keine Abuse-Kontakte.

Einfacher Selbsttest

Da wir nur die Alexa-Top-1-Millionen-Liste gescannt haben sind natürlich zahlreiche kleinere Webseiten betroffen, die wir nicht informiert haben. Ob ein Coredump vorhanden ist, lässt sich relativ trivial testen: Man versucht, die Datei /core von einer Domain herunterzuladen. Falls sich dort eine Datei herunterladen lässt, die wie eine Executable aussieht, gibt es ein Problem.

Unter Linux werden Coredumps im ELF-Format abgelegt. Seltener antreffen dürfte man Mach-O-Dateien, die von OS X verwendet werden. Einige ältere Unix-Derivate nutzen auch das A.Out-Format. Es wäre sicherlich sinnvoll, wenn Sicherheitstests für Webseiten und Pentester diese Lücke bei künftigen Tests berücksichtigen.

Einmal mehr zeigt sich hier, dass sich von Webservern oft private Daten abrufen lassen, die dort nicht hingehören. Erst kürzlich hatten wir darüber berichtet, wie der Webshop Redcoon und die Seite des Projektes Volksverschlüsselung private Git-Verzeichnisse im Webroot liegen ließen. Und bei der Suchmaschine Ask.com konnte man eine Apache-Status-Seite abrufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Anlage von Coredumps im Webroot kann verhindert werden
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.


Folgen Sie uns
       


iPhone 11 - Test

Das iPhone 11 ist das günstigste der drei neuen iPhone-Modelle - kostet aber immer noch mindestens 850 Euro. Dafür müssen Nutzer kaum Kompromisse bei der Kamera machen - das Display finden wir aber wie beim iPhone Xr antiquiert.

iPhone 11 - Test Video aufrufen
Star Wars Jedi Fallen Order im Test: Sternenkrieger mit Lichtschwertkrampf
Star Wars Jedi Fallen Order im Test
Sternenkrieger mit Lichtschwertkrampf

Sympathische Hauptfigur plus Star-Wars-Story - da sollte wenig schiefgehen! Nicht ganz: Jedi Fallen Order bietet zwar ein stimmungsvolles Abenteuer. Allerdings kämpfen Sternenkrieger auch mit fragwürdigen Designentscheidungen und verwirrend aufgebauten Umgebungen.
Von Peter Steinlechner

  1. Star Wars Jedi Fallen Order Mächtige und nicht so mächtige Besonderheiten

Indiegames-Rundschau: Der letzte Kampf des alten Cops
Indiegames-Rundschau
Der letzte Kampf des alten Cops

Rollenspiel deluxe mit einem abgehalfterten Polizisten in Disco Elysium, unmöglich-verdrehte Architektur in Manifold Garden und eine höllische Feier in Afterparty: Golem.de stellt die aktuellen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Killer trifft Gans
  2. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  3. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten

Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Mi Note 10 im Hands on Fünf Kameras, die sich lohnen
  2. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  3. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro

    •  /