Abo
  • Services:

Zertifikate: Trustico verwundbar für Root-Code-Injection

Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.

Artikel veröffentlicht am , Hanno Böck
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten.
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten. (Bild: Screenshot / trustico.com)

Eine Sammlung von privaten Schlüsseln von Kunden war wohl nicht das einzige Problem beim Zertifikatsaussteller Trustico. Verschiedene Personen posteten auf Twitter Screenshots von Code-Injection-Angriffen über die Webseite des Zertifikatsausstellers. Diese liefen dabei sogar mit Root-Rechten.

Stellenmarkt
  1. M-net Telekommunikations GmbH, München
  2. McService GmbH, München

Golem hatte heute berichtet, dass 23.000 Zertifikate, die von Trustico verkauft wurden, gestern zurückgezogen wurden. Der Hintergrund: Trustico hatte die privaten Schlüssel zu diesen Zertifikaten und bei Digicert eine Revocation beantragt. Die Zertifikate waren ursprünglich von Symantec ausgestellt worden.

Command Substitution erlaubt Codeausführung mit Root-Rechten

Der Vorfall führte nun dazu, dass sich einige Leute die Webseite von Trustico genauer angeschaut haben. Das Formular, in das man einen Domainnamen zur Verifizierung einträgt, war dabei offenbar für eine Script-Injection-Attacke anfällig.

Mittels einer Command-Substitution konnte man dort Befehle ausführen, beispielsweise indem man dort eine Eingabe der Form $(curl http://example.com/) eintrug. Das deutet darauf hin, dass die Eingabedaten von Trustico ungeprüft an ein Kommandozeilentool übergeben werden.

Doch nicht nur das: Die Befehle wurden offenbar auch mit Root-Rechten ausgeführt. Damit wäre es einem Angreifer trivial möglich gewesen, den Server zu übernehmen.

Die Webseite von Trustico ist inzwischen offline, zurzeit ist dort nur eine Meldung "Service Unavailable" zu sehen.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. 1.299,00€
  3. 149,90€ + Versand (im Preisvergleich ab 184,95€)

My1 05. Mär 2018

die denken sich wohl dass nur 3 monate wohl egal sind oder so.

logged_in 02. Mär 2018

Yo! Boss! Ich kann den Server nicht starten, der sagt das nur Root Ports unter 1024...

Proctrap 01. Mär 2018

Nix v.w. Audit etc ? Wird ja immer besser. Kommt wir machen eine golem-forum Stelle auf...


Folgen Sie uns
       


Geräuschunterdrückung Sony WH-1000 Serie im Vergleich

Sonys neuer ANC-Kopfhörer aus der WH-1000 Serie bringt eine nochmals verbesserte Geräuschunterdrückung. Wir haben das neue Modell WH-1000XM3 gegen das Vorgängermodell WH-1000XM2 antreten lassen. In leisen Umgebungen hat der WH-1000XM2 noch ein recht stark vernehmbares Grundrauschen, beim WH-1000XM3 gibt es das nicht mehr.

Geräuschunterdrückung Sony WH-1000 Serie im Vergleich Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Sony-Kopfhörer WH-1000XM3 im Test: Eine Oase der Stille oder des puren Musikgenusses
Sony-Kopfhörer WH-1000XM3 im Test
Eine Oase der Stille oder des puren Musikgenusses

Wir haben die dritte Generation von Sonys Top-ANC-Kopfhörer getestet - vor allem bei der Geräuschreduktion hat sich einiges getan. Wer in lautem Getümmel seine Ruhe haben will, greift zum WH-1000XM3. Alle Nachteile der Vorgängermodelle hat Sony aber nicht behoben.
Ein Test von Ingo Pakalski


      •  /