Using Components with Known Vulnerabilities (OWASP Top 10)

Was ist Using Components with Known Vulnerabilities?

Using Components with Known Vulnerabilities (“Nutzung von Komponenten mit bekannten Schwachstellen”) ist eine regelm├Ą├čig in der OWASP Top 10 gelistete typische Sicherheitsschwachstelle von Webanwendungen. Die OWASP Top 10 ist eine industrieweit anerkannte Auflistung derartiger am h├Ąufigsten festgestellter Schwachstellen.

Gef├Ąhrdung durch anf├Ąllige Softwarekomponenten

“Using Components with Known Vulnerabilities” bezieht sich auf Sicherheitsprobleme mit Softwarekomponenten, welche eine Webanwendung ben├Âtigt. In der Entwicklung von Webanwendungen spielen solche Komponenten wie Bibliotheken und Frameworks eine wichtige Rolle. Entwickler nutzen deren Funktionalit├Ąt und vermeiden damit redundante Arbeit. Angreifer k├Ânnen nach Schwachstellen in diesen Komponenten suchen. Wenn eine Komponente mit Sicherheitsschwachstellen mit denselben Rechten wie die Anwendung ausgef├╝hrt wird, kann die anf├Ąllige Komponente f├╝r Angriffe ausgenutzt werden. Die Abwehrmechanismen von Anwendungen und APIs, die solche Komponenten nutzen, k├Ânnen dadurch unterlaufen werden. Die Folgen von “Using Components with Known Vulnerabilities” k├Ânnen von schwerwiegendem Datenverlust bis hin zur Server├╝bernahme reichen. Solche Schwachstellen k├Ânnen auch absichtlich als Backdoor vorgesehen sein.

Beispiele der Ausnutzung bekannter Schwachstellen durch Hacker

Die Sicherheitsanf├Ąlligkeit der Spring Expression Language (SpEL) k├Ânnte ausgenutzt werden, um per Remote-Code-Ausf├╝hrung fremde Server zu ├╝bernehmen.

Tipp

Wenn Sie noch Fragen bez├╝glich Remote haben, dann k├Ânnen Sie gerne den jeweiligen Glossar dazu besuchen und sich ├╝ber das Thema informieren.

In dem Open-Source-Webservice-Framework Apache CXF konnte die Authentifizierung ├╝bergangen werden, indem bei Anfragen auf ein Identit├Ąts-Token verzichtet wurde. Dadurch bestand voller Zugriff auf jeden Webservice des Frameworks.

Vermeidung

Kritisch ist bei der Anwendungsentwicklung, wenn nicht die Versionsnummern aller Komponenten bekannt sind und auf ihre Sicherheit hin verifiziert wurden. Insbesondere nicht mehr unterst├╝tzte und alte Versionen sind eine Gefahr. Das umfasst das Betriebssystem, den Server, Datenbankverwaltungssysteme, APIs, Laufzeitumgebungen, Frameworks und Bibliotheken. Wichtig ist daher das best├Ąndige Updaten bestehender Komponenten.

Zur Vermeidung von “Using Components with Known Vulnerabilities” sollten daher Versionsupdates sowohl Client– als auch Server-seitiger Komponenten st├Ąndig erfasst werden und zum Einsatz kommen. In der Regel korrigieren Komponentenanbieter bekannte Sicherheitsanf├Ąlligkeiten in neuen Versionen, anstatt Patches f├╝r ├Ąltere Versionen der Komponente zu ver├Âffentlichen. Das bedeutet, dass ein Upgrade auf neue Versionen aller Komponenten so schnell wie m├Âglich der beste Weg ist, um diese bekannten Schwachstellen zu ├╝berwinden. Release-Datenbanken, Projektnewsletter und Mailinglisten sollten genutzt werden, um sich auf dem Laufenden zu halten. Komponenten sollten nur von offiziellen Quellen ├╝ber sichere Links bezogen werden, am besten als signierte Packages. Damit wird das Risiko modifizierter, b├Âsartiger Komponenten reduziert. Sowohl bei der Anwendungsentwicklung als auch der sp├Ąteren Pflege sollte ein Patch Management Prozess etabliert werden, der ungenutzte Abh├Ąngigkeiten und Features entfernt.

Tipp

Wenn Sie noch Fragen bez├╝glich eines Online Marketing Themas haben, dann k├Ânnen Sie gerne unseren Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte