Die Schwierigkeit beim Patchen von Deserialisierungsschwachstellen
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können.
Application Security Researcher - R&D Engineer - PhD Candidate
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Application Security Researcher - R&D Engineer - PhD Candidate
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Application Security Researcher - R&D Engineer - PhD Candidate
Letzte Woche wurde berichtet, dass eine mögliche Ursache für die Equifax-Datenschutzverletzung eine Sicherheitslücke im Apache Struts REST-Plugin war. Die ältere Version des Plugins ist anfällig für Remote Code Execution-Angriffe, wenn sie zusammen mit dem XStream-Handler zur Verarbeitung von XML-Payloads verwendet wird. Die Ursache ist Deserialisierung nicht vertrauenswürdiger Daten, was ein bekannter Schwachstellentyp ist. Die Sicherheitslücke, offiziell anerkannt als CVE-2017-9805, wurde am 5. September von Apache in der Struts-Version 2.5.13 gepatcht. Damals war es angekündigt und klar dokumentiert in der Apache Struts-Dokumentation.
Ein einfaches Upgrade auf die neueste Struts-Version kann die Anwendung vor diesem Angriff schützen. Warum aktualisieren Unternehmen also nicht sofort? Das Problem mit Deserialisierungsschwachstellen besteht darin, dass die Routinen, die ausgenutzt werden, häufig diejenigen sind, auf denen der Anwendungscode basiert. In diesem Fall kann die Anwendung des neuen Struts-Patches einige Nebenwirkungen haben, da Dokumentation Zu der Sicherheitsanfälligkeit wird Folgendes erwähnt: „Es ist möglich, dass einige REST-Aktionen nicht mehr funktionieren, weil Standardbeschränkungen für verfügbare Klassen angewendet wurden.“ Es ist sehr wahrscheinlich, dass es einige Zeit dauert, sicherzustellen, dass die Anwendung auch auf neueren Versionen von Struts funktioniert.
Hacker benötigen jedoch nicht so viel Zeit, um veröffentlichte Sicherheitslücken auszunutzen, und wir können bereits einige Exploits beobachten veröffentlicht. Ein Metasploit Modul wurde am 8. September hinzugefügt, also drei Tage, nachdem Apache die Sicherheitslücke gepatcht hat. Es ist eindeutig keine gute Idee, Ihren Patch zu verschieben!
Die Lösung besteht darin, eine von Apache vorgeschlagene Problemumgehung zu implementieren, die in einem kürzeren Zeitrahmen durchgeführt werden könnte. Ein Sicherheitstool mit konfigurierbaren Codierungsrichtlinien, um diese Problemumgehung durchzusetzen oder sie sogar automatisch anzuwenden, würde diesen Prozess erheblich beschleunigen.
Möchten Sie mehr darüber erfahren, wie Sie Code identifizieren und sichern können, der die Deserialisierung nicht vertrauenswürdiger Daten enthält? Besuchen Sie das Secure Code Warrior-Portal für einen klaren Überblick Erklärung und eine Trainingsherausforderung.
Die Sicherheitsanfälligkeit bezieht sich darauf, wie Struts diese Art von Daten analysiert und in Informationen umwandelt, die von der Programmiersprache Java interpretiert werden können. Wenn die Sicherheitsanfälligkeit erfolgreich ausgenutzt wird, kann bösartiger Code in solchen Daten versteckt und ausgeführt werden, wenn Struts versucht, ihn zu konvertieren.
https://qz.com/1073221/the-hackers-who-broke-into-equifax-exploited-a-nine-year-old-security-flaw/
Inhaltsverzeichniss
Application Security Researcher - R&D Engineer - PhD Candidate
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
