Sicherheitslücken in WSO2

18.05.2015

In der Identity-Management-Software WSO2 wurden einige Sicherheitslücken gefunden, die vermeintlich geschützte Netze gefährden. 

Security-Experten von SEC Consult haben im Identity-Server WSO2 drei Sicherheitslücken gefunden. Per Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) können Anwender Administratoren-Sessions des Servers übernehmen und unter Umständen lokale Files lesen. Eine weitere Lücke, die als XML External Entity Injection (XXE) klassifiziert wird, erlaubt es vermutlich sogar, einen Firewallschutz zu unterlaufen. 

Die Entwickler, des auch unter einer freien Lizenz verfügbaren WSO2-Servers, wurden von SEC Consult vorab informiert und stellen Updates für die Software bereit, deren Anwendung dringend empfohlen wird. Die Security-Experten vermuten, dass in dem von WSO2 verwendeten Framework Carbon noch weitere Fehler stecken und raten deshalb von dessen Einsatz ab. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

OWASP Web-Security-Guide aktualisiert

Der Testleitfaden zur Absicherung von Web-Servern und -Anwendungen liegt in einer überarbeiteten Version vor.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019