Abo
  • Services:

Zertifikate: Trustico verwundbar für Root-Code-Injection

Der Zertifikatsverkäufer Trustico hat ein paar noch gravierendere Sicherheitsprobleme. Auf der Webseite fand sich eine triviale Script-Injection, mit der man Code mit Root-Rechten ausführen konnte.

Artikel veröffentlicht am , Hanno Böck
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten.
Bei Trustico hat man wohl panikartig die Webseite abgeschaltet, nachdem User auf Twitter über eine gravierende Sicherheitslücke berichtet hatten. (Bild: Screenshot / trustico.com)

Eine Sammlung von privaten Schlüsseln von Kunden war wohl nicht das einzige Problem beim Zertifikatsaussteller Trustico. Verschiedene Personen posteten auf Twitter Screenshots von Code-Injection-Angriffen über die Webseite des Zertifikatsausstellers. Diese liefen dabei sogar mit Root-Rechten.

Stellenmarkt
  1. eurosimtec GmbH, Düsseldorf
  2. über DIS AG, Münster

Golem hatte heute berichtet, dass 23.000 Zertifikate, die von Trustico verkauft wurden, gestern zurückgezogen wurden. Der Hintergrund: Trustico hatte die privaten Schlüssel zu diesen Zertifikaten und bei Digicert eine Revocation beantragt. Die Zertifikate waren ursprünglich von Symantec ausgestellt worden.

Command Substitution erlaubt Codeausführung mit Root-Rechten

Der Vorfall führte nun dazu, dass sich einige Leute die Webseite von Trustico genauer angeschaut haben. Das Formular, in das man einen Domainnamen zur Verifizierung einträgt, war dabei offenbar für eine Script-Injection-Attacke anfällig.

Mittels einer Command-Substitution konnte man dort Befehle ausführen, beispielsweise indem man dort eine Eingabe der Form $(curl http://example.com/) eintrug. Das deutet darauf hin, dass die Eingabedaten von Trustico ungeprüft an ein Kommandozeilentool übergeben werden.

Doch nicht nur das: Die Befehle wurden offenbar auch mit Root-Rechten ausgeführt. Damit wäre es einem Angreifer trivial möglich gewesen, den Server zu übernehmen.

Die Webseite von Trustico ist inzwischen offline, zurzeit ist dort nur eine Meldung "Service Unavailable" zu sehen.



Anzeige
Top-Angebote
  1. 13€
  2. 34,99€ statt 59,99€ (neuer Tiefpreis!)
  3. 24,99€ statt 39,99€
  4. 159,00€

My1 05. Mär 2018

die denken sich wohl dass nur 3 monate wohl egal sind oder so.

logged_in 02. Mär 2018

Yo! Boss! Ich kann den Server nicht starten, der sagt das nur Root Ports unter 1024...

Proctrap 01. Mär 2018

Nix v.w. Audit etc ? Wird ja immer besser. Kommt wir machen eine golem-forum Stelle auf...


Folgen Sie uns
       


Rage 2 angespielt

Rage 2 ist anders als das erste Rage. Wir durften den Titel bereits anspielen und erklären, was sich verändert hat.

Rage 2 angespielt Video aufrufen
Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Emotionen erkennen Ein Lächeln macht noch keinen Frohsinn
  2. Ökostrom Wie Norddeutschland die Energiewende vormacht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
Radeon VII im Test
Die Grafikkarte für Videospeicher-Liebhaber

Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
  2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
  3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


      •  /