Andreas Kurtz

Viele Schwachstellen innerhalb einer Applikation sind das Ergebnis weit verbreiteter Programmierfehler. Um diesen Fehlern schon während der Entwicklung entgegenwirken zu können, veröffentlichte das SANS Institute gemeinsam mit der MITRE Corporation zu Beginn des Jahres eine Liste der “Top 25 der gefährlichsten Programmierfehler”.

In der ab morgen erhältlichen März-Ausgabe des iX-Magazin schreibe ich über die Veröffentlichung der “Top 25″, die Vor- und Nachteile derartiger Schwachstellen-Sammlungen und über die organisatorischen Rahmenbedingungen sicherer Programmierung.

Statische Quellcode-Analyse ist ein mächtiges Verfahren, um nach Schwachstellen im Sourcecode einer Applikation zu suchen, ohne diese auszuführen. Automatisierte Quellcode-Scanner unterstützen dabei durch die Verfolgung des Datenflusses und das Erkennen von Schwachstellen. Wo liegen die Möglichkeiten, wo die Grenzen dieser Werkzeuge?

In der ab morgen erhältlichen Ausgabe des iX-Magazin (02/2009) beschreibe ich die automatisierte Schwachstellen-Analyse von Quelltexten.

Eine Leseprobe ist hier erhältlich.

Six months ago I reported a few serious vulnerabilities within the famous Jabber server Openfire to its vendor Jive Software. Since these issues could potentially even be used by an attacker to execute code on the operating system level and the vendor did not make any efforts to get these issues fixed, I decided to release my advisory with full technical details to the general public.

Since there is no vendor-patch available at the moment, every Openfire installation should be secured manually:
The simplest and most recommended solution is to deactivate access to the entire admin interface. This can for example be achieved by blocking the according ports (tcp/9090 & tcp/9091 by default) with a firewall. Subsequent communication to the admin interface can be done via SSL tunnels.

The sections below outline the most critical findings. Complete details could be extracted from the related advisory: AKADV2008-001-v1.0.

Bypass Authentication
Authentication to the Openfire admin interface is secured by a filter in the Tomcat application server. This filter guarantees that access to the admin interface is only granted to authenticated users. Otherwise they get redirected to a login page.
A design error in Openfire enables access to internal functions without the need for admin user credentials. The deployment descriptor (web.xml) configures some exclude values for the AuthCheckFilter.

When a request URL contains one of these Exclude-Strings the auth check mechanism can be totally circumvented. This was considered necessary for the initial setup process or the presence plugin.

Following POC demonstrates how an attacker could access internal functions by manipulating the URL providing one of these excludes(/setup/setup-/../../):

http://www.foo.bar:9090/setup/setup-/../../log.jsp?log=info&mode=asc&lines=All

SQL injection despite using Prepared Statements
In the meantime many developers have noted (or got obligated by secure coding guidelines) that the usage of prepared statements could prevent SQL injection. But in order to successfully prevent such attacks, prepared statements have to be used the right way.

During many static source code analyses which I conducted the last months, I was often confronted with the following problem: Strings were dynamically concatenated before there were passed to the prepared statement object. The proper set()-methods to bind the strings to the prepared statement were not used. In the scenario outlined sql injection is still possible despite using prepared statements.

The openfire case:

Untrusted user data enters the application
String type = ParamUtils.getParameter(request, "type");

A function processes this user input (SQLCondition) and constructs a SQL statement:
String sql = "SELECT * FROM sipPhoneLog";
sql = ... + " WHERE " + SQLCondition;

That statement is passed over to a prepared statement.
return con.prepareStatement(sql);

Schwachstellen in einer Webanwendung können die gesamte IT-Infrastruktur eines Unternehmens gefährden. Als wirkungsvolle Schutzkomponente haben sich sogenannte Web Application Firewalls etabliert.

In der seit heute erhältlichen Ausgabe des iX-Magazin (08/08) vergleiche ich zusammen mit meinem Kollegen Michael Dipper “Acht Web Application Firewalls”.

Am gestrigen Freitag Abend (18. April 2008) fand die Diplomierungsfeier der Fakultäten für Technik- und Informatik statt. Nach der Überreichung der Diplomurkunden und der Preisverleihung durfte ich die Absolventenansprache halten.

Den Text der Rede gibt es hier zum Download.

Eine Warnung an alle, die gerne mal etwas schneller unterwegs sind

Gerade komme ich zurück aus Weil am Rhein – dort habe ich dieses Wochenende Simon besucht. Anlass war das Feiern des offiziellen Studiumsende. Nach einer kleinen Rundfahrt durch Weil am Rhein gings zum Tanken nach Frankreich und anschließend etwas am Rheinhafen von Basel spazieren. Das Foto zeigt uns auf der so genannten Dreiländerbrücke, die übrigens die längste Rad- und Fußgängerbrücke ihrer Art der Welt ist. Links von uns Deutschland, im Hintergrund die Schweiz und am rechten Bildrand Frankreich.

An dieser Stelle nochmal vielen Dank, Simon, für die gute Beherbergung, Bewirtung und Unterhaltung

Nach zweistündiger Vollsperrung der A8 erreichten wir den Münchner Flughafen vorletztes Wochenende gerade noch rechtzeitig, um bei hochsommerlichen Temperaturen ein Wochenende in der “ewigen Stadt” zu verbringen.
Klar: Rom ist chaotisch, laut, verschmutzt und eigentlich nicht lebens- und liebenswert – trotzdem zog es mich nun zum dritten Mal dort hin. Aber wie es schon der Romliebhaber Luciano de Crescenzo gesagt hat: “Eine Stadt wie eine Hummel – mit einem großen schweren Körper und winzigen Flügeln. Sie dürfte gar nicht fliegen können, irgendwie tut sie aber trotzdem.”

Rom ist eine Stadt für Fußgänger – nicht zuletzt weil ab 22:00 Uhr keine Metro mehr von der spanischen Treppe zum Hotel fährt. Das verlängerte Wochenende war natürlich eine reine Sightseeing-Tour, Pflichtprogramm waren: Piazza Venezia, Palazzo Venezia, Kapitol, Kaiserforen, Kolosseum, Domus Aurea, Palatin, Forum Romanum, Circus Maximus, Via del Corso, Pantheon, Piazza Navona, Piazza del Poplo, Villa Borghese (v.a. der Park, der sie umgibt), Fontane die Trevi, Piazza di Spagna, Engelsburg, Petersplatz, Papstgräber, Petersdom (und natürlich dessen Kuppel, mit einem einmaligen Ausblick über ganz Rom).

Übrigens wurde gerade dieses Wochenende das Kolosseum (zweites Foto) zu einem der wichtigsten Bauwerke der Welt auserkoren: Da unter den Denkmälern der ursprünglich aus der Antike übertragenen Liste der sieben Weltwunder nur noch die Pyramiden von Gizeh zu bewundern sind, wurde schon im Jahr 2000 eine Online-Abstimmung über die “New 7 Wonders Of The World” gestartet, deren Ergebnisse am 07.07.07 im Rahmen einer Gala in Lissabon bekannt gegeben wurden. Mehr Informationen dazu unter http://www.new7wonders.com.
(Die UNESCO als Verwaltung des Welterbes der Menschheit distanzierte sich von der Wahl, da sie keinen wissenschaftlichen Ansprüchen genüge).

Diese Anleitung beschreibt das Vorgehen bei der Installation der Security Live-CD BackTrack in einer virtuellen Umgebung und die Hürden die dabei zu überwinden sind. Die Vorteile einer Festinstallation liegen auf der Hand: Man benötigt keine CD, muss nicht die aktuelle Arbeitsumgebung verlassen um in das Live-System zu booten und Einstellungen werden direkt gespeichert. Die Festinstallation ist also die ideale Lösung, so lang man keine native Treiberunterstützung von z.B. W-LAN-Karten im PCMCIA-Slot benötigt.

weiter…

Nach dem tragischen Polizistenmord hier in Heilbronn kam im Zuge der anschließenden Ringfahnung der komplette Verkehr zum Erliegen.
Um 18 Uhr begannen DRK und ASB Getränke auf den Straßen zu verteilen.
Die Verkehrslage beruhigte sich erst gegen 22 Uhr wieder, als die Polizeisperren aufgehoben wurden. Die meisten Autofahrer zeigten trotz stundenlanger Verspätung meist Verständnis für die Vollsperrung.

Kompletter Stillstand auf Heilbronns Straßen