Abo
  • Services:

Zertifikate: Trustico verwundbar für Root-Code-Injection

Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.

Artikel veröffentlicht am , Hanno Böck
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten.
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten. (Bild: Screenshot / trustico.com)

Eine Sammlung von privaten Schlüsseln von Kunden war wohl nicht das einzige Problem beim Zertifikatsaussteller Trustico. Verschiedene Personen posteten auf Twitter Screenshots von Code-Injection-Angriffen über die Webseite des Zertifikatsausstellers. Diese liefen dabei sogar mit Root-Rechten.

Stellenmarkt
  1. BASF Services Europe GmbH, Berlin
  2. BOS GmbH & Co. KG, Ostfildern bei Stuttgart

Golem hatte heute berichtet, dass 23.000 Zertifikate, die von Trustico verkauft wurden, gestern zurückgezogen wurden. Der Hintergrund: Trustico hatte die privaten Schlüssel zu diesen Zertifikaten und bei Digicert eine Revocation beantragt. Die Zertifikate waren ursprünglich von Symantec ausgestellt worden.

Command Substitution erlaubt Codeausführung mit Root-Rechten

Der Vorfall führte nun dazu, dass sich einige Leute die Webseite von Trustico genauer angeschaut haben. Das Formular, in das man einen Domainnamen zur Verifizierung einträgt, war dabei offenbar für eine Script-Injection-Attacke anfällig.

Mittels einer Command-Substitution konnte man dort Befehle ausführen, beispielsweise indem man dort eine Eingabe der Form $(curl http://example.com/) eintrug. Das deutet darauf hin, dass die Eingabedaten von Trustico ungeprüft an ein Kommandozeilentool übergeben werden.

Doch nicht nur das: Die Befehle wurden offenbar auch mit Root-Rechten ausgeführt. Damit wäre es einem Angreifer trivial möglich gewesen, den Server zu übernehmen.

Die Webseite von Trustico ist inzwischen offline, zurzeit ist dort nur eine Meldung "Service Unavailable" zu sehen.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. 9,99€

My1 05. Mär 2018

die denken sich wohl dass nur 3 monate wohl egal sind oder so.

logged_in 02. Mär 2018

Yo! Boss! Ich kann den Server nicht starten, der sagt das nur Root Ports unter 1024...

Proctrap 01. Mär 2018

Nix v.w. Audit etc ? Wird ja immer besser. Kommt wir machen eine golem-forum Stelle auf...


Folgen Sie uns
       


Youtube Music - angeschaut

Wir haben uns das neue Youtube Music angeschaut. Davon gibt es eine kostenlose Version mit Werbeeinblendungen und zwei Abomodelle. Youtube Music Premium ist quasi der Nachfolger von Googles Play Musik. Das Monatsabo für Youtube Music Premium kostet 9,99 Euro.

Youtube Music - angeschaut Video aufrufen
Foam: Geodaten auf der Blockchain
Foam
Geodaten auf der Blockchain

Sinnvolle Blockchain-Anwendungen sind noch immer rar. Das Unternehmen Foam aus Brooklyn will Location Services auf die Blockchain bringen und setzt dabei auf ein Lora-Netzwerk statt auf GPS.
Von Dirk Koller


    OLKB Planck im Test: Winzig, gerade, programmierbar - gut!
    OLKB Planck im Test
    Winzig, gerade, programmierbar - gut!

    Wem 60-Prozent-Tastaturen wie die Vortex Poker 3 noch zu groß sind, der kann es mal mit 40 Prozent versuchen: Mit der voll programmierbaren Planck müssen wir anders als erwartet keine Abstriche machen - aber eine Umgewöhnung und die Einarbeitung in die Programmierung sind erforderlich.
    Ein Test von Tobias Költzsch

    1. Alte gegen neue Model M Wenn die Knickfedern wohlig klackern
    2. Kailh KS-Switch im Test Die bessere Alternative zu Cherrys MX Blue
    3. Apple-Patentantrag Krümel sollen Macbook-Tastatur nicht mehr stören

    Leckere neue Welt: Die Stadt wird essbar und smart
    Leckere neue Welt
    Die Stadt wird essbar und smart

    Obst und Gemüse von der Stadtmauer. Salat und Kräuter aus dem Stadtpark. In essbaren Städten sprießt und gedeiht es, wo sonst Hecken wuchern und Geranien blühen. In manchen Metropolen gibt es gar sprechende Bänke, denkende Mülleimer und Gewächshochhäuser.
    Ein Bericht von Daniel Hautmann

    1. IT-Sicherheit Angriffe auf Smart-City-Systeme können Massenpanik auslösen

      •  /