Remote Code Exclusion – CVE-2012-1823

Remote-Code-Exclusion

┬ę Copyright Shutterstock / alphaspirit.it

Was bedeutet Remote Code Exclusion – CVE-2012-1823?

Remote Code Exclusion┬áerfasst CVE-2012-1823, um die Remote-Code-Ausf├╝hrung auf einem PHP-CGI-basierten Webserver auszuf├╝hren. Eingaben, die sich auf den Steuerungsfluss oder den Datenfluss eines Programms auswirken k├Ânnen, werden nicht oder fehlerhaft ├╝berpr├╝ft.

Beschreibung

Wenn eine Software die Eingabe nicht ordnungsgem├Ą├č ├╝berpr├╝ft, kann ein Angreifer eine Eingabe so erstellen, das die Anwendung dies in dieser Form nicht erwartet. Dies f├╝hrt dazu, dass Teile des Systems unbeabsichtigte Eingaben erhalten, was zu einer ver├Ąnderten, willk├╝rlichen Steuerung einer Ressource oder Codes f├╝hren kann.

Diese Schwachstelle wird w├Ąhrend der Implementierung einer architektonischen Sicherheitstaktik verursacht.

Wenn ein Programmierer der Meinung ist, dass ein Angreifer bestimmte Eingaben nicht ├Ąndern kann, f├╝hrt der Programmierer m├Âglicherweise keine ├ťberpr├╝fung der Eingaben durch, obwohl Eingaben mit einem Proxy oder einem benutzerdefinierten Programm ge├Ąndert werden k├Ânnen. In einer Client-Server-Architektur kann der Programmierer davon ausgehen, dass clientseitige Sicherheitspr├╝fungen nicht umgangen werden k├Ânnen, selbst wenn ein benutzerdefinierter Client geschrieben werden k├Ânnte, der diese Pr├╝fungen ├╝berspringt.

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Verwenden Sie ein Eingabevalidierungsframework wie Struts oder die OWASP ESAPI Validation-API.
Verstehen Sie alle potenziellen Bereiche, in denen nicht vertrauensw├╝rdige Eingaben Ihre Software eingeben k├Ânnen: Parameter oder Argumente, Cookies, alles, was aus dem Netzwerk gelesen wird, Umgebungsvariablen, Reverse-DNS-Lookups, Abfrageergebnisse, Anforderungsheader, URL-Komponenten, E-Mail, Dateien, Dateinamen, Datenbanken sowie alle externen Systeme, die der Anwendung Daten zur Verf├╝gung stellen. Beachten Sie, dass solche Eingaben indirekt durch API-Aufrufe abgerufen werden k├Ânnen.
Verwenden Sie eine Whitelist mit akzeptablen Eingaben, die streng den Spezifikationen entsprechen. Verwerfen Sie Eingaben, die nicht genau den Spezifikationen entsprechen, oder wandeln Sie sie in etwas um, das dies tut.
Ber├╝cksichtigen Sie bei der Eingabevalidierung alle potenziell relevanten Eigenschaften, einschlie├člich L├Ąnge, Eingabetyp, den gesamten zul├Ąssigen Wertebereich, fehlende oder zus├Ątzliche Eingaben, Syntax, Konsistenz in verwandten Feldern und die Einhaltung von Gesch├Ąftsregeln.

 

Verlassen Sie sich nicht ausschlie├člich auf die Suche nach sch├Ądlichen oder fehlerhaften Eingaben (d.h. Verlassen Sie sich nicht auf eine Blacklist). Bei einer Blacklist wird wahrscheinlich mindestens eine unerw├╝nschte Eingabe ├╝bersehen, insbesondere wenn sich die Code-Umgebung ├Ąndert. Dadurch k├Ânnen Angreifer gen├╝gend Spielraum haben, um die beabsichtigte Validierung zu umgehen. Blacklists k├Ânnen jedoch hilfreich sein, um potenzielle Angriffe zu erkennen oder um festzustellen, welche Eingaben so fehlerhaft sind, dass sie v├Âllig abgelehnt werden sollten.
Wenn Ihre Anwendung Daten aus mehreren Quellen kombiniert, f├╝hren Sie die Validierung durch, nachdem die Quellen kombiniert wurden. Die einzelnen Datenelemente k├Ânnen den Validierungsschritt bestehen, verletzen jedoch die beabsichtigten Beschr├Ąnkungen, nachdem sie kombiniert wurden.

Andere Informationen

Die ├ťberpr├╝fung der Eingabe kann in jedem System, das Daten von einer externen Quelle empf├Ąngt, ein Problem darstellen.
Die Validierung von Eingaben – ob fehlend oder fehlerhaft – ist ein so wesentlicher und weit verbreiteter Teil einer sicheren Entwicklung, dass sie in vielen verschiedenen Schwachstellen enthalten ist. Traditionell werden Probleme wie Puffer├╝berl├Ąufe und XSS von vielen Sicherheitsexperten als Probleme bei der Eingabevalidierung eingestuft. Die Eingabevalidierung ist jedoch nicht notwendigerweise der einzige Schutzmechanismus, um solche Probleme zu vermeiden, und reicht in manchen F├Ąllen nicht aus.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber die Seite der CWE Organisation dar├╝ber weiter informieren.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte