Abo
  • Services:
Anzeige
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden.
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden. (Bild: Nasa)

Websicherheit: Verräterische Coredumps im Webverzeichnis

Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden.
Dateien mit dem Namen "core" können zu einem unerwarteten Sicherheitsrisiko für Webseiten werden. (Bild: Nasa)

Coredumps sind ein hilfreiches Instrument, um nach einem Softwareabsturz eine Fehleranalye zu betreiben. Doch die Fehlerberichte sind auf zahlreichen Webseiten öffentlich einsehbar, wie wir herausgefunden haben. Dabei werden zum Teil auch private Daten wie Passwörter veröffentlicht.
Von Hanno Böck

Wenn unter Linux ein Programm abstürzt, kann es eine Kopie des Programmspeichers in einen sogeannten Coredump speichern. Das kann zum Sicherheitsrisiko werden. Wir haben herausgefunden: Bei vielen Webseiten lassen sich die Coredumps von früheren Abstürzen herunterladen.

Anzeige

Die Ursachen der Abstürze können dabei vielfältig sein: Speicherzugriffe auf ungültige Speicherbereiche, Dereferenzierung von Null-Pointern oder endlose Rekursionen von Funktionsaufrufen - sie alle können dazu führen, dass eine Software vom Betriebssystem beendet wird.

Unter Linux und anderen Unix-Systemen gibt es eine Funktion, die bei der Analyse solcher Abstürzte hilft: Sogenannte Coredumps. Dabei wird der Speicherinhalt eines abgestürzten Programms in eine Datei geschrieben. In der Standardeinstellung des Linux-Kernels heißt diese Datei schlicht "core" und wird im aktuellen Verzeichnis abgelegt. Diese Coredumps lassen sich mit Debugging-Tools wie GDB später analysieren, um die Ursache des Crashs herauszufinden.

So hilfreich dies sein kann, Coredumps können auch zum Sicherheitsrisiko werden. Je nach Konfiguration enthalten sie teilweise oder komplett alle Daten, den eine Applikation zum Zeitpunkt des Absturzes im Arbeitsspeicher hatte. Darunter können sich natürlich auch private Daten befinden, beispielsweise Passwörter. Ein Coredump sollte also niemals an nicht vertrauenswürdige Personen weitergegeben werden.

Coredumps lassen sich oft von Webseiten herunterladen

Doch eine ganze Reihe von Webseiten lassen unbeabsichtigt einen Zugriff auf Coredumps zu. Der Hintergrund: Wenn eine Webapplikation abstürzt, landet der Coredump häufig direkt im Web-Verzeichnis - und kann von dort einfach heruntergeladen werden. Ein Angreifer kann somit Webseiten nach Coredumps absuchen, indem er URLs der Form http://example.com/core abruft.

Bei einem Scan der Alexa-Top-1-Million-Liste waren circa Tausend Webseiten von diesem Problem betroffen. Bei der überwiegenden Mehrzahl handelte es sich um PHP-Applikationen. PHP stürzte in der Vergangenheit relativ häufig ab.

In den vergangenen Jahren wurden sehr viele Bugs gefixt, die in PHP zu Abstürzen führen können, insbesondere da es für PHP seit einiger Zeit ein Bug-Bounty-Programm gibt. Doch nach wie vor kann man PHP mit einfachen Codebeispielen zum Abstürz bringen.

Anlage von Coredumps im Webroot kann verhindert werden 

eye home zur Startseite
LeidIndex 21. Jun 2017

Vor x Jahren bereits getestet: Unter Unix auf dem Zentralrechner der Uni einloggen...

Themenstart

nachgefragt 17. Jun 2017

Wo hat er das denn behauptet? Welcher Admin hat denn mit allen Betriebssystemen und allen...

Themenstart

CalebR 15. Jun 2017

Die Dumps können doch eigentlich nur bei einem vollständig unkonfiguriertem Coredump im...

Themenstart

hum4n0id3 15. Jun 2017

Wieder was gelernt! Heute schau ich mal nach, ob es bei mir auch so ist.

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Robert Bosch GmbH, Böblingen
  3. Thomas Sabo GmbH & Co. KG, Lauf / Pegnitz
  4. ROMACO Pharmatechnik GmbH, Karlsruhe


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. inklusive Wonder Woman Comic
  3. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)

Folgen Sie uns
       


  1. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  2. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  3. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  4. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  5. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  6. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz

  7. Netzneutralität

    CCC lehnt StreamOn der Telekom ab

  8. Star Trek

    Sprachsteuerung IBM Watson in Bridge Crew verfügbar

  9. SteamVR

    Valve zeigt Knuckles-Controller

  10. Netflix und Amazon

    Legale Streaming-Nutzung in Deutschland nimmt zu



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sony Xperia XZ Premium im Test: Taschenspiegel mit übertrieben gutem Display
Sony Xperia XZ Premium im Test
Taschenspiegel mit übertrieben gutem Display
  1. Keine Entschädigung Gericht sieht mobiles Internet nicht als lebenswichtig an
  2. LTE Deutsche Telekom führt HD Voice Plus ein
  3. Datenrate Vodafone bietet im LTE-Netz 500 MBit/s

1Sheeld für Arduino angetestet: Sensor-Platine hat keine Sensoren und liefert doch Daten
1Sheeld für Arduino angetestet
Sensor-Platine hat keine Sensoren und liefert doch Daten
  1. Calliope Mini im Test Neuland lernt programmieren
  2. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  3. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif

Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

  1. Re: Wasserstoff

    masel99 | 00:08

  2. Re: Taschenrechnerbug behoben?

    sio1Thoo | 24.06. 23:50

  3. Re: Erik Range hat meiner Ansicht nach Recht

    Umaru | 24.06. 23:46

  4. Re: Nutzt irgendjemand hier wirklich noch google-mail

    FreiGeistler | 24.06. 23:44

  5. Re: In anderen Worten

    FreiGeistler | 24.06. 23:39


  1. 13:30

  2. 12:14

  3. 11:43

  4. 10:51

  5. 09:01

  6. 17:40

  7. 16:22

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel