Abo
  • Services:

Zertifikate: Trustico verwundbar für Root-Code-Injection

Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.

Artikel veröffentlicht am , Hanno Böck
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten.
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten. (Bild: Screenshot / trustico.com)

Eine Sammlung von privaten Schlüsseln von Kunden war wohl nicht das einzige Problem beim Zertifikatsaussteller Trustico. Verschiedene Personen posteten auf Twitter Screenshots von Code-Injection-Angriffen über die Webseite des Zertifikatsausstellers. Diese liefen dabei sogar mit Root-Rechten.

Stellenmarkt
  1. Institut für Arbeitswissenschaft und Technologiemanagement der Universität Stuttgart, Stuttgart
  2. TeamViewer GmbH, Göppingen

Golem hatte heute berichtet, dass 23.000 Zertifikate, die von Trustico verkauft wurden, gestern zurückgezogen wurden. Der Hintergrund: Trustico hatte die privaten Schlüssel zu diesen Zertifikaten und bei Digicert eine Revocation beantragt. Die Zertifikate waren ursprünglich von Symantec ausgestellt worden.

Command Substitution erlaubt Codeausführung mit Root-Rechten

Der Vorfall führte nun dazu, dass sich einige Leute die Webseite von Trustico genauer angeschaut haben. Das Formular, in das man einen Domainnamen zur Verifizierung einträgt, war dabei offenbar für eine Script-Injection-Attacke anfällig.

Mittels einer Command-Substitution konnte man dort Befehle ausführen, beispielsweise indem man dort eine Eingabe der Form $(curl http://example.com/) eintrug. Das deutet darauf hin, dass die Eingabedaten von Trustico ungeprüft an ein Kommandozeilentool übergeben werden.

Doch nicht nur das: Die Befehle wurden offenbar auch mit Root-Rechten ausgeführt. Damit wäre es einem Angreifer trivial möglich gewesen, den Server zu übernehmen.

Die Webseite von Trustico ist inzwischen offline, zurzeit ist dort nur eine Meldung "Service Unavailable" zu sehen.



Anzeige
Blu-ray-Angebote
  1. (u. a. John Wick, Sicario, Deepwater Horizon, Die große Asterix Edition, Die Tribute von Panem)
  2. (u. a. Game Night 5,98€, Maze Runner 6,98€, Coco 5,98€)
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

My1 05. Mär 2018

die denken sich wohl dass nur 3 monate wohl egal sind oder so.

logged_in 02. Mär 2018

Yo! Boss! Ich kann den Server nicht starten, der sagt das nur Root Ports unter 1024...

Proctrap 01. Mär 2018

Nix v.w. Audit etc ? Wird ja immer besser. Kommt wir machen eine golem-forum Stelle auf...


Folgen Sie uns
       


Toshiba Dynaedge ausprobiert

Das Dynaedge ist wie Google Glass eine Datenbrille. Allerdings soll sie sich an den industriellen Sektor richten. Die Brille paart Toshiba mit einem tragbaren PC - für Handwerker, die beide Hände und ein PDF-Dokument brauchen.

Toshiba Dynaedge ausprobiert Video aufrufen
Pixel 3 und Pixel 3 XL im Hands on: Googles Smartphones mit verbesserten Kamerafunktionen
Pixel 3 und Pixel 3 XL im Hands on
Googles Smartphones mit verbesserten Kamerafunktionen

Google hat das Pixel 3 und das Pixel 3 XL vorgestellt. Bei beiden neuen Smartphones legt das Unternehmen besonders hohen Wert auf die Kamerafunktionen. Mit viel Software-Raffinessen sollen gute Bilder auch unter widrigen Umständen entstehen. Die ersten Eindrücke sind vielversprechend.
Ein Hands on von Ingo Pakalski

  1. BQ Aquaris X2 Pro im Hands on Ein gelungenes Gesamtpaket mit Highend-Funktionen

Campusnetze: Das teure Versäumnis der Telekom
Campusnetze
Das teure Versäumnis der Telekom

Die Deutsche Telekom muss anderen Konzernen bei 5G-Campusnetzen entgegenkommen. Jahrzehntelang von Funklöchern auf dem Lande geplagt, wollen Siemens und die Automobilindustrie nun selbst Mobilfunknetze aufspannen. Auch der öffentliche Rundfunk will selbst 5G machen.
Eine Analyse von Achim Sawall

  1. Stadtnetzbetreiber 5G-Netz kann auch aus der Box kommen
  2. Achim Berg "In Sachen Gigabit ist Deutschland ein großer weißer Fleck"
  3. Telefónica Bündelung von Bandbreiten aus 4G und 5G ist doch möglich

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  2. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor
  3. NAND und DRAM Samsung scheint künstlich Flash-Preise hoch zu halten

    •  /