Abo
  • Services:
Anzeige
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden.
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden. (Bild: Nasa)

Websicherheit: Verräterische Coredumps im Webverzeichnis

Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden.
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden. (Bild: Nasa)

Coredumps sind ein hilfreiches Instrument, um nach einem Softwareabsturz eine Fehleranalye zu betreiben. Doch die Fehlerberichte sind auf zahlreichen Webseiten öffentlich einsehbar, wie wir herausgefunden haben. Dabei werden zum Teil auch private Daten wie Passwörter veröffentlicht.
Von Hanno Böck

Wenn unter Linux ein Programm abstürzt, kann es eine Kopie des Programmspeichers in einen sogeannten Coredump speichern. Das kann zum Sicherheitsrisiko werden. Wir haben herausgefunden: Bei vielen Webseiten lassen sich die Coredumps von früheren Abstürzen herunterladen.

Anzeige

Die Ursachen der Abstürze können dabei vielfältig sein: Speicherzugriffe auf ungültige Speicherbereiche, Dereferenzierung von Null-Pointern oder endlose Rekursionen von Funktionsaufrufen - sie alle können dazu führen, dass eine Software vom Betriebssystem beendet wird.

Unter Linux und anderen Unix-Systemen gibt es eine Funktion, die bei der Analyse solcher Abstürzte hilft: Sogenannte Coredumps. Dabei wird der Speicherinhalt eines abgestürzten Programms in eine Datei geschrieben. In der Standardeinstellung des Linux-Kernels heißt diese Datei schlicht "core" und wird im aktuellen Verzeichnis abgelegt. Diese Coredumps lassen sich mit Debugging-Tools wie GDB später analysieren, um die Ursache des Crashs herauszufinden.

So hilfreich dies sein kann, Coredumps können auch zum Sicherheitsrisiko werden. Je nach Konfiguration enthalten sie teilweise oder komplett alle Daten, den eine Applikation zum Zeitpunkt des Absturzes im Arbeitsspeicher hatte. Darunter können sich natürlich auch private Daten befinden, beispielsweise Passwörter. Ein Coredump sollte also niemals an nicht vertrauenswürdige Personen weitergegeben werden.

Coredumps lassen sich oft von Webseiten herunterladen

Doch eine ganze Reihe von Webseiten lassen unbeabsichtigt einen Zugriff auf Coredumps zu. Der Hintergrund: Wenn eine Webapplikation abstürzt, landet der Coredump häufig direkt im Web-Verzeichnis - und kann von dort einfach heruntergeladen werden. Ein Angreifer kann somit Webseiten nach Coredumps absuchen, indem er URLs der Form http://example.com/core abruft.

Bei einem Scan der Alexa-Top-1-Million-Liste waren circa Tausend Webseiten von diesem Problem betroffen. Bei der überwiegenden Mehrzahl handelte es sich um PHP-Applikationen. PHP stürzte in der Vergangenheit relativ häufig ab.

In den vergangenen Jahren wurden sehr viele Bugs gefixt, die in PHP zu Abstürzen führen können, insbesondere da es für PHP seit einiger Zeit ein Bug-Bounty-Programm gibt. Doch nach wie vor kann man PHP mit einfachen Codebeispielen zum Abstürz bringen.

Anlage von Coredumps im Webroot kann verhindert werden 

eye home zur Startseite
LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.



Anzeige

Stellenmarkt
  1. FIEGE Logistik Stiftung & Co. KG, Hamburg, Greven
  2. WINGS - Wismar International Graduation Services GmbH, Wismar
  3. PUSCH WAHLIG LEGAL, Berlin
  4. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Game of Thrones, Big Bang Theory, The Vampire Diaries, Supernatural)
  3. (u. a. Hacksaw Ridge, Deadpool, Blade Runner, Kingsman, Arrival)

Folgen Sie uns
       


  1. Signal Foundation

    Whatsapp-Gründer investiert 50 Millionen US-Dollar in Signal

  2. Astronomie

    Amateur beobachtet erstmals die Geburt einer Supernova

  3. Internet der Dinge

    Bosch will die totale Vernetzung

  4. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  5. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  6. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  7. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  8. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  9. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  10. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

  1. Re: Einfach folgende News-Vertreiber blocken

    Dino13 | 23:52

  2. Re: So ein Blödsinn

    koriwi | 23:51

  3. Re: mal wieder nur im Westen

    applebenny | 23:47

  4. Re: Selbst im Iran besseres Netz

    SanderK | 23:46

  5. Re: Netzabdeckung Norwegen

    RaZZE | 23:38


  1. 21:26

  2. 19:00

  3. 17:48

  4. 16:29

  5. 16:01

  6. 15:30

  7. 15:15

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel