Neue Angriffsmethode: Hacker finden weitverbreitete Schwachstelle bei Web-Servern

Eine Sicherheitslücke in vielen Web-Programmiersprachen lässt sich ausnutzen, um Server mit vergleichsweise wenigen Datenpaketen zu überlasten. Diese Entdeckung stellten zwei Informatiker auf dem Chaos Communication Congress 28C3 in Berlin vor.

Hacker auf dem 28C3: Sicherheitslücke betrifft viele WebserverZur Großansicht
DPA

Hacker auf dem 28C3: Sicherheitslücke betrifft viele Webserver

Berlin - Zwei deutsche Sicherheitsforscher haben auf dem derzeit laufenden Kongreß des Chaos Computer Clubs eine schwerwiegende Software-Lücke vorgestellt. Diese Schwachstelle könnten Cyber-Guerillas wie Anonymous, aber auch Online-Erpresser und Internet-Saboteure für Angriffe auf Websites nutzen.

Alexander Klink vom IT-Dienstleister n.runs und der Informatik-Student Julian Wälde zeigten auf dem Hackerkongress in Berlin, wie sich Schwachstellen in einer Vielzahl von Web-Technologien wie Java, ASP.Net, Python, Ruby und Googles V8-Javascript für Überlastungsangriffe auf Server ausnutzen lassen.

Bedenklich ist vor allem, wie weit verbreitet diese Sicherheitslücke ist: Betroffen ist laut Klink und Wälde "jede Website, die eine der oben beschriebenen Technologien einsetzt" - praktisch das halbe Internet.

Um so ärgerlicher, dass diese Lücke theoretisch seit 2003 bekannt ist, wie die Forscher in ihrem Arbeitspapier erläutern (PDF-Datei). Einige Software-Hersteller hatten schon längst Maßnahmen gegen entsprechende Angriffe ergriffen - andere wurden von den Autoren auf die Probleme hingewiesen und entwickelten daraufhin Sicherheitsaktualisierungen für ihre Dienste.

Microsoft weist nun in einem Technet-Eintrag auf die Gefahren für ASP.Net-Kunden hin: Ein Angreifer könnte mithilfe einer einzigen Datenanfrage alle CPU-Reserven eines Webservers oder gar einer verschalteten Ansammlung von Webservern ("Server-Cluster") für bis zu knapp zwei Minuten ausreizen. Durch wiederholte Angriffe, etwa durch ein Botnet, könnten ganze Serverfarmen ausgeschaltet werden.

Microsoft warnt vor Angriffen auf diese Sicherheitslücke und rät zur sofortigen Überprüfung der eigenen Server. Bis das ASP.Net-Team ein Update veröffentlicht, sollen alle Server-Betreiber eine Reihe von Sicherheitsmaßnahmen ergreifen, um das Risiko zu mindern.

kno

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
Auf anderen Social Networks teilen
  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum
Diskutieren Sie über diesen Artikel
insgesamt 4 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Ruby MRI
svoop 29.12.2011
Ruby ist nur in der veralteten Version 1.8.7 verwundbar, die aktuellen 1.9er Versionen sind gegen das Problem Immun. Und für 1.8.7 wurde noch am gleichen Tag ein Update 1.8.7-p357 herausgegeben, das dieses Hash-Problem löst.
Ruby ist nur in der veralteten Version 1.8.7 verwundbar, die aktuellen 1.9er Versionen sind gegen das Problem Immun. Und für 1.8.7 wurde noch am gleichen Tag ein Update 1.8.7-p357 herausgegeben, das dieses Hash-Problem löst.
2.
D.Fronath 29.12.2011
Beim Tomcat gibt es das Attribut maxParameterCount. Vergleichbares liefert das Hardend PHP Project per suhoshin patches/extensions. usw. usf. Bei den meisten Sprachen/Frameworks konnte/kann man etwas gegen diese Form von [...]
Beim Tomcat gibt es das Attribut maxParameterCount. Vergleichbares liefert das Hardend PHP Project per suhoshin patches/extensions. usw. usf. Bei den meisten Sprachen/Frameworks konnte/kann man etwas gegen diese Form von Angriffen tun. Man muss es nur tun + es bedeutet mal mehr mal weniger Aufwand. Im Zweifel wird es noch in 10 Jahren Server mit Standardeinstellungen geben, die diese Form von Attacke ermöglichen.
3.
ArnoNym 29.12.2011
Wundert mich das? Nein! Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko. Insofern wundert es mich, daß die meisten WebSites zwar statischer Natur sind, sich aber aktiver Techniken bedienen. [...]
Zitat von sysopEine Sicherheitslücke in vielen Web-Programmiersprachen lässt sich ausnutzen, um Server mit vergleichsweise wenigen Datenpaketen zu überlasten. Diese Entdeckung stellten zwei Informatiker auf dem Chaos Communication Congress 28C3 in Berlin vor.
Wundert mich das? Nein! Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko. Insofern wundert es mich, daß die meisten WebSites zwar statischer Natur sind, sich aber aktiver Techniken bedienen. "Bestes" Beispiel: JScript-Links, die nichts anderes machen, als einen im Klartext enthaltenen Dokumentenverweis per JScript auszuführen. Irgendwelche Texte plus Bildchen plus anklickbare Links funktioniert im Gegensatz dazu jedoch wunderbar und vor allem schnell und kompatibel mit Einfachst-HTML. Solange Web-Designer derart bescheuerte und sinnfreie Dinge tun, braucht man sich über nichts zu wundern - auch nicht darüber, daß bestimmte WebSites nur mit IE funktionieren, weil der Hobby-Web-Designer zu blöd war zu erkennen, daß weitere Browser im Internet durchaus üblich sind. Wer hier schon nicht willens oder in der LAge ist, seine Hausaufgaben zu machen, machts sie in Bezug auf Sicherheit erst recht nicht. Nicht ohne Grund heißt die goldene Regel des Ingenieurwesens: Keep it as simple as possible!
4.
pescador 29.12.2011
Tja, nur geht es hier gar nicht um aktive Inhalte. Man sendet einfach an eine beliebige PHP/ASP.NET/JSP/JSF Seite, ein Servlet oder ein Python-Script einen moderat großen POST-Request, und schon ist die CPU des Server dicht. [...]
Zitat von ArnoNymWundert mich das? Nein! Sogenannte "aktive Inhalte" sind und waren immer schon ein Risiko.
Tja, nur geht es hier gar nicht um aktive Inhalte. Man sendet einfach an eine beliebige PHP/ASP.NET/JSP/JSF Seite, ein Servlet oder ein Python-Script einen moderat großen POST-Request, und schon ist die CPU des Server dicht. Gefeit sind offenbar nur PERL-Scripte oder neuere Rubys. Und Sie werden ja wohl kaum zu statischen Seiten zurückkehren wollen, oder? Übrigens ist die Methode altbekannt, der Ur-Artikel erschien 2003 und führte dazu, dass PERL die Lücke dichtmachte.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt Twitter | RSS
alles aus der Rubrik Web RSS
alles zum Thema Hacker RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Donnerstag, 29.12.2011 – 10:12 Uhr
  • Drucken Versenden Feedback
  • Kommentieren | 4 Kommentare
Alle Themenseiten
Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.

Mehr auf SPIEGEL ONLINE
Mehr im Internet
SPIEGEL ONLINE ist nicht verantwortlich
für die Inhalte externer Internetseiten.





MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP



TOP