Abo
  • Services:
Anzeige
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden.
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden. (Bild: Nasa)

Schwieriger Disclosure-Prozess

Wir haben versucht, die Betreiber der betroffenen Webseiten zu erreichen. Bei Hunderten von Betroffenen ist es allerdings kaum praktikabel, diese manuell zu informieren. Die Firma Abusix bietet für derartige Zwecke jedoch einen interessanten Service an: Mittels einer DNS-Anfrage kann man dort zu einer IP-Adresse den passenden Abuse-Kontakt herausfinden.

Anzeige

Wir haben neben anderen Versuchen alle Abuse-Kontakte der IPs, die zu den entsprechenden Webseiten gehören, informiert. In vielen Fällen wurden die Coredumps anschließend gelöscht, doch viele Nachrichten wurden auch ignoriert. Erstaunlich viele Webseiten hatten zudem Abuse-Adressen, die nicht erreichbar waren oder gar keine Abuse-Kontakte.

Einfacher Selbsttest

Da wir nur die Alexa-Top-1-Millionen-Liste gescannt haben sind natürlich zahlreiche kleinere Webseiten betroffen, die wir nicht informiert haben. Ob ein Coredump vorhanden ist, lässt sich relativ trivial testen: Man versucht, die Datei /core von einer Domain herunterzuladen. Falls sich dort eine Datei herunterladen lässt, die wie eine Executable aussieht, gibt es ein Problem.

Unter Linux werden Coredumps im ELF-Format abgelegt. Seltener antreffen dürfte man Mach-O-Dateien, die von OS X verwendet werden. Einige ältere Unix-Derivate nutzen auch das A.Out-Format. Es wäre sicherlich sinnvoll, wenn Sicherheitstests für Webseiten und Pentester diese Lücke bei künftigen Tests berücksichtigen.

Einmal mehr zeigt sich hier, dass sich von Webservern oft private Daten abrufen lassen, die dort nicht hingehören. Erst kürzlich hatten wir darüber berichtet, wie der Webshop Redcoon und die Seite des Projektes Volksverschlüsselung private Git-Verzeichnisse im Webroot liegen ließen. Und bei der Suchmaschine Ask.com konnte man eine Apache-Status-Seite abrufen.

 Anlage von Coredumps im Webroot kann verhindert werden

eye home zur Startseite
LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.



Anzeige

Stellenmarkt
  1. HMS Industrial Networks GmbH, Karlsruhe
  2. Bundeskriminalamt, Meckenheim
  3. dSPACE GmbH, Paderborn
  4. über duerenhoff GmbH, Hannover


Anzeige
Spiele-Angebote
  1. 49,99€
  2. (-13%) 34,99€
  3. 67,64€

Folgen Sie uns
       


  1. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  2. Breko

    Telekom-Chef entschuldigt sich für Äußerungen

  3. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD

  4. Metal Gear Survive im Test

    Himmelfahrtskommando ohne Solid Snake

  5. Cloud IoT Core

    Googles Cloud verwaltet weltweit IoT-Anlagen

  6. Schweden

    Netzbetreiber bietet 10 GBit/s für 45 Euro

  7. Reverse Engineering

    Das Xiaomi-Ökosystem vom Hersteller befreien

  8. Fritzbox 7583

    AVM zeigt neuen Router für diverse Vectoring-Techniken

  9. Halbleiterwerk

    Samsung rüstet Fab 3 für sechs Milliarden US-Dollar auf

  10. Archos Hello

    Smarter Lautsprecher mit vollwertigem Android



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

  1. Re: Wo ist denn der S0 Bus versteckt?

    maverick1977 | 15:52

  2. Re: Das sagt eine Schlange auch

    Der Held vom... | 15:52

  3. Re: Und in Deutschland haben wir die Telekom

    Dwalinn | 15:51

  4. Re: WLAN als Lösung?

    azeu | 15:48

  5. Re: Wo ist da der Sinn?

    montagen2002 | 15:47


  1. 15:45

  2. 15:24

  3. 14:47

  4. 14:10

  5. 13:49

  6. 12:32

  7. 12:00

  8. 11:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel