Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Neue Angriffsmethode: Hacker finden weitverbreitete Schwachstelle bei Web-Servern

Eine Sicherheitslücke in vielen Web-Programmiersprachen lässt sich ausnutzen, um Server mit vergleichsweise wenigen Datenpaketen zu überlasten. Diese Entdeckung stellten zwei Informatiker auf dem Chaos Communication Congress 28C3 in Berlin vor.

Hacker auf dem 28C3: Sicherheitslücke betrifft viele Webserver Zur Großansicht
DPA

Hacker auf dem 28C3: Sicherheitslücke betrifft viele Webserver

Berlin - Zwei deutsche Sicherheitsforscher haben auf dem derzeit laufenden Kongreß des Chaos Computer Clubs eine schwerwiegende Software-Lücke vorgestellt. Diese Schwachstelle könnten Cyber-Guerillas wie Anonymous, aber auch Online-Erpresser und Internet-Saboteure für Angriffe auf Websites nutzen.

Alexander Klink vom IT-Dienstleister n.runs und der Informatik-Student Julian Wälde zeigten auf dem Hackerkongress in Berlin, wie sich Schwachstellen in einer Vielzahl von Web-Technologien wie Java, ASP.Net, Python, Ruby und Googles V8-Javascript für Überlastungsangriffe auf Server ausnutzen lassen.

Bedenklich ist vor allem, wie weit verbreitet diese Sicherheitslücke ist: Betroffen ist laut Klink und Wälde "jede Website, die eine der oben beschriebenen Technologien einsetzt" - praktisch das halbe Internet.

Um so ärgerlicher, dass diese Lücke theoretisch seit 2003 bekannt ist, wie die Forscher in ihrem Arbeitspapier erläutern (PDF-Datei). Einige Software-Hersteller hatten schon längst Maßnahmen gegen entsprechende Angriffe ergriffen - andere wurden von den Autoren auf die Probleme hingewiesen und entwickelten daraufhin Sicherheitsaktualisierungen für ihre Dienste.

Microsoft weist nun in einem Technet-Eintrag auf die Gefahren für ASP.Net-Kunden hin: Ein Angreifer könnte mithilfe einer einzigen Datenanfrage alle CPU-Reserven eines Webservers oder gar einer verschalteten Ansammlung von Webservern ("Server-Cluster") für bis zu knapp zwei Minuten ausreizen. Durch wiederholte Angriffe, etwa durch ein Botnet, könnten ganze Serverfarmen ausgeschaltet werden.

Microsoft warnt vor Angriffen auf diese Sicherheitslücke und rät zur sofortigen Überprüfung der eigenen Server. Bis das ASP.Net-Team ein Update veröffentlicht, sollen alle Server-Betreiber eine Reihe von Sicherheitsmaßnahmen ergreifen, um das Risiko zu mindern.

kno

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Ruby MRI
svoop 29.12.2011
Ruby ist nur in der veralteten Version 1.8.7 verwundbar, die aktuellen 1.9er Versionen sind gegen das Problem Immun. Und für 1.8.7 wurde noch am gleichen Tag ein Update 1.8.7-p357 herausgegeben, das dieses Hash-Problem löst.
2.
D.Fronath 29.12.2011
Beim Tomcat gibt es das Attribut maxParameterCount. Vergleichbares liefert das Hardend PHP Project per suhoshin patches/extensions. usw. usf. Bei den meisten Sprachen/Frameworks konnte/kann man etwas gegen diese Form von Angriffen tun. Man muss es nur tun + es bedeutet mal mehr mal weniger Aufwand. Im Zweifel wird es noch in 10 Jahren Server mit Standardeinstellungen geben, die diese Form von Attacke ermöglichen.
3.
ArnoNym 29.12.2011
Zitat von sysopEine Sicherheitslücke in vielen Web-Programmiersprachen lässt sich ausnutzen, um Server mit vergleichsweise wenigen Datenpaketen zu überlasten. Diese Entdeckung stellten zwei Informatiker auf dem Chaos Communication Congress 28C3 in Berlin vor. Neue Angriffsmethode: Hacker finden weit verbreitete Schwachstelle bei Web-Servern - SPIEGEL ONLINE - Nachrichten - Netzwelt (http://www.spiegel.de/netzwelt/web/0,1518,806173,00.html)
Wundert mich das? Nein! Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko. Insofern wundert es mich, daß die meisten WebSites zwar statischer Natur sind, sich aber aktiver Techniken bedienen. "Bestes" Beispiel: JScript-Links, die nichts anderes machen, als einen im Klartext enthaltenen Dokumentenverweis per JScript auszuführen. Irgendwelche Texte plus Bildchen plus anklickbare Links funktioniert im Gegensatz dazu jedoch wunderbar und vor allem schnell und kompatibel mit Einfachst-HTML. Solange Web-Designer derart bescheuerte und sinnfreie Dinge tun, braucht man sich über nichts zu wundern - auch nicht darüber, daß bestimmte WebSites nur mit IE funktionieren, weil der Hobby-Web-Designer zu blöd war zu erkennen, daß weitere Browser im Internet durchaus üblich sind. Wer hier schon nicht willens oder in der LAge ist, seine Hausaufgaben zu machen, machts sie in Bezug auf Sicherheit erst recht nicht. Nicht ohne Grund heißt die goldene Regel des Ingenieurwesens: Keep it as simple as possible!
4.
pescador 29.12.2011
Zitat von ArnoNymWundert mich das? Nein! Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko. Insofern wundert es mich, daß die meisten WebSites zwar statischer Natur sind, sich aber aktiver Techniken bedienen. "Bestes" Beispiel: JScript-Links, die nichts anderes machen, als einen im Klartext enthaltenen Dokumentenverweis per JScript auszuführen. Irgendwelche Texte plus Bildchen plus anklickbare Links funktioniert im Gegensatz dazu jedoch wunderbar und vor allem schnell und kompatibel mit Einfachst-HTML. Solange Web-Designer derart bescheuerte und sinnfreie Dinge tun, braucht man sich über nichts zu wundern - auch nicht darüber, daß bestimmte WebSites nur mit IE funktionieren, weil der Hobby-Web-Designer zu blöd war zu erkennen, daß weitere Browser im Internet durchaus üblich sind. Wer hier schon nicht willens oder in der LAge ist, seine Hausaufgaben zu machen, machts sie in Bezug auf Sicherheit erst recht nicht. Nicht ohne Grund heißt die goldene Regel des Ingenieurwesens: Keep it as simple as possible!
Tja, nur geht es hier gar nicht um aktive Inhalte. Man sendet einfach an eine beliebige PHP/ASP.NET/JSP/JSF Seite, ein Servlet oder ein Python-Script einen moderat großen POST-Request, und schon ist die CPU des Server dicht. Gefeit sind offenbar nur PERL-Scripte oder neuere Rubys. Und Sie werden ja wohl kaum zu statischen Seiten zurückkehren wollen, oder? Übrigens ist die Methode altbekannt, der Ur-Artikel erschien 2003 und führte dazu, dass PERL die Lücke dichtmachte.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: