Sicherheit
Massive Sicherheitslücken in Web-Applikationen
von
Thorsten
Eggeling - 31.12.2011
Sicherheitsexperten haben auf dem 28. Chaos Communication Congress (28C3) auf die Gefahren von Schwachstellen in Skriptsprachen und Plattformen hingewiesen, die für Angriffe auf Web-Server missbraucht werden können.
Auf dem 28. Chaos Communication Congress (28C3) in Berlin haben Sicherheitsforscher auf gefährliche Sicherheitslücken in Skriptsprachen und Plattformen für Web-Applikationen aufmerksam gemacht. Betroffen sind beispielsweise PHP, ASP.NET, Java und Python. Laut Alexander Klink (PDF-Datei) von der Sicherheitsfirma n.runs werden dort zur komplexeren Datensuche Hashverfahren eingesetzt. Allerdings bergen diese Verfahren Schwachstellen, die Angreifer ausnutzen können.
Der bei Programmierern beliebte Einsatz von Hashtabellen hat die Eigenschaft, dass zwei unterschiedliche Schlüssel zu ein und demselben Hash-Wert führen können. Damit steigt das Risiko, dass gleichwertige Teilzeichenfolgen gefunden werden, die zu Kollisionen führen könnten. Darüber können dann massive Denial of Service-Attacken (DoS) ausgeführt werden. Außerdem ermöglichen sie kryptographische Angriffe. So könnte beispielsweise ein Meet in the Middle-Angriff auf Hashfunktionen ausgeübt werden.
Eine der beliebtesten Funktionen ist die von Daniel Bernstein entworfene Hashfunktion DJBX33A, die etwa in PHP5, Ruby, Java, Tomcat und Glasfish verwendet wird. Die Struktur dieser Hashfunktion macht sie anfällig für Angriffe über gleichwertigen Teilzeichenketten. Bei einer Post-Request-Größe von 8MB kann ein Angriff eine Intel Core-i7-CPU etwa vier Stunden lang beschäftigen. Für die Hashfunktion DJBX33X, die bei PHP4, ASP.NET, Python und JavaScript zum Einsatz kommt, gelten ähnliche Angriff-Szenartien.
Um sich vor derartigen Angriffen zu schützen, raten die Forscher dazu, zufällige Hashfunktionen zu benutzen. Perl verwendet dieses Verfahren schon seit 2003, nachdem es dahingehend bereits konkrete Sicherheitswarnungen gegeben hat.
Die Entwickler der anfälligen Programmiersprachen und Applikationsplattformen wurden bereits im November über die Schwachstellen informiert. Es gibt bereits Reaktionen. Die Mehrzahl der Projektbetreuer hat die Sicherheitslücken zumindest teilweise behoben. Auch Microsoft hat reagiert und bereits ein Update für das .Net-Framework veröffentlicht.
