Open Source im professionellen Einsatz
Linux-Magazin 05/2017

Schwachstellen in der FTP-Implementation von Java und Python

Fehler beim Filtern

Webapplikationen sind häufig Ziel von entfernten Angreifern. Die nutzen dabei die verschiedensten Schwachstellen aus, beispielsweise SQL-Injection-Fehler oder Cross-Site-Scripting-Gelegenheiten. Etwas seltener findet man Sicherheitslücken, die eine so genannte XML-External-Entity-Attacke ermöglichen.

101

Bei XML-External-Entity-Attacken nutzt der Angreifer aus, dass XML-Dokumente Verweise auf externe Dokumente oder Entities enthalten können, die der Parser im Zuge der Verarbeitung automatisch auflöst. Dabei darf er auch externe Ressourcen nachladen. Dieses Feature ist nützlich, weil es kürzeren und effizienteren Code ermöglicht.

Grundsätzlich unterscheidet man internal und external Entities. Bei einer external Entity kann ein Pfad oder eine externe Referenz in das Dokument eingebaut sein. Der Angreifer schickt spezielle XML-Inhalte an eine Webapplikation, die sie nicht korrekt filtert. Neben Denial-of-Service-Attacken sind durch diese Schwachstelle auch Angriffe auf interne Systeme in einer DMZ möglich.

Eine solche Schwachstelle [1] wurde kürzlich im Zusammenhang mit einer Java-Implementation des FTP-Clients-Protokolls gefunden. Java erlaubt für external Entities nämlich nicht nur HTTP- und HTTPS-, sondern auch FTP-Verbindungen.

[...]

Linux-Magazin Online veröffentlicht alle Print-Artikel, die seit 2001 im Linux-Magazin erschienen sind. Damit steht Ihnen ein hochwertig bestücktes Archiv bis hin zu den Beiträgen der aktuellen Ausgabe online zur Verfügung. Die über 3000 Artikel sind größtenteils kostenlos zugänglich, nur für Beiträge (als PDF) der jüngsten zehn Linux-Magazine ist eine kleine Gebühr fällig.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Java/Python: Probleme mit FTP
  • JMeter 2.4 testet auch SMTP-Server

    Apache JMeter, ein vielseitiges Testwerkzeug für Server, ist in Version 2.4. mit zahlreichen Neuerungen erhältlich.

  • Tooltipps
  • DANE

    Wer glaubt, STARTTLS im Mailclient zu aktivieren, mache seinen Mailverkehr in jedem Fall sicherer, der irrt. Erst wer auf DANE setzt, kann sicher sein, dass ein Mailserver oder eine Firewall auf dem Transportweg nicht jede Verschlüsselung ausknipst.

  • Spamabwehr

    Es wäre doch praktisch, unerwünschte E-Mails direkt beim Einliefern abzuweisen, ohne sie erst rechenintensiv zu durchleuchten. Das haben sich auch die Entwickler von Postfix gedacht und ihrem Server in Version 2.8 Postscreen spendiert. Das Modul filtert und sortiert aus, ohne den Inhalt der Mails anzuschauen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.