1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Kritische Sicherheitslücke: Bug in…

Bin fasziniert...

  1. Thema

Neues Thema Ansicht wechseln


  1. Bin fasziniert...

    Autor: EifX 19.09.15 - 02:05

    ... wie kreativ man sein kann, um solche Lücken zu finden. Hut ab! Wieder einmal was gelernt ;)

  2. Re: Bin fasziniert...

    Autor: ernstl 19.09.15 - 10:38

    EifX schrieb:
    --------------------------------------------------------------------------------
    > ... wie kreativ man sein kann, um solche Lücken zu finden. Hut ab! Wieder
    > einmal was gelernt ;)

    Ich frage mich allerdings auch, wieso Privilegien (Rechte bzw. Rollen) an den Domain-Teil einer e-Mail-Adresse gebunden sind. Ich bin da kein Spezialist, aber so richtig sauber klingt das nicht.

  3. Re: Bin fasziniert...

    Autor: EifX 19.09.15 - 11:56

    Ohne tiefergehend darüber nachgedacht zu haben, würde ich jetzt mal behaupten, dass das im Allgemeinen nicht soo problematisch ist. Da ein Aktivierungslink geschickt wird, muss man eine Email-Adresse bei der entsprechenden Domain besitzen, um beim Bugtracker mitmachen zu können. Einzige Probleme die ich sehe sind:

    - Wenn man Zugriff auf ein Email-Account hat, bei dem die Domain erlaubt ist, kann man sich auch Zugriff auf den Bugtracker verschaffen.
    - Die Email kann abgefangen werden (Man-In-The-Middle,...)

    Wenn eines der beiden Dinge zutreffen, ist es, meiner Meinung nach, sowieso schon zu spät. Ob der Angreifer dann noch Zugriff aufs Bugtracking-System hat, ist dann schon quasi irrelevant.

  4. Re: Bin fasziniert...

    Autor: GaliMali 19.09.15 - 14:10

    Deshalb nehme ich auch ungern tiny.

    Zeigt (leider) wieder mal das zuviel Datenbankoptimierung zu Problemen führen kann.

    Bei den vielen anderen riesiegen Datenmengen, die meist mit so einem Account verbunden sind, auch eher unsinnig.

    http://tools.ietf.org/html/rfc5321#section-4.5.3
    "...SHOULD be avoided when possible"

    Gerade wenn etwas so schwammig formuliert wird, passiert sowas leider.

    Früher schrieb irgendwer auch mal glaube 320 als limit.

  5. Re: Bin fasziniert...

    Autor: EifX 19.09.15 - 16:02

    Das Problem bei dieser Lücke ist ja eher, dass eine Vergrößerung des Speicherplatzes für die Daten nicht unbedingt die Lücke verhindert (außer man nimmt Datentypen, bei denen der Speicherplatz wirklich nicht begrenzt ist (TEXT,BLOB,...)). Im Fall einer Email-Adresse macht das aus Datenbank-Optimierungssicht ja schon Sinn.

    Damit diese Lücke hätte verhindert werden können, hätte der Aktivierungslink nur auf die in der Datenbank gespeicherte Email-Adresse versendet werden müssen (und nicht, wie vermutlich geschehen, die Mail-Adresse, die in der Session gespeichert war).

  6. Re: Bin fasziniert...

    Autor: ultrara1n 19.09.15 - 17:11

    Ich denke noch einfacher wäre es gewesen, die Länge der Adresse einfach zu reglementieren. Denn sind wir mal ehrlich, wer hat schon eine 255 stellige E-Mail Adresse? Eine Limitierung auf höchstens 100 würde doch schon problemlos reichen, während der Eingabe mit JavaScript und nach dem Absenden mit strlen() o.ä.

  7. Re: Bin fasziniert...

    Autor: EifX 19.09.15 - 17:14

    Ja schon... das würde den dargestellten Bug jedoch nicht verhindern. Da ist ja das gerade Problem, dass der Speicherplatz der Mail-Adresse beschränkt war...

  8. Re: Bin fasziniert...

    Autor: mnementh 20.09.15 - 10:39

    EifX schrieb:
    --------------------------------------------------------------------------------
    > Ja schon... das würde den dargestellten Bug jedoch nicht verhindern. Da ist
    > ja das gerade Problem, dass der Speicherplatz der Mail-Adresse beschränkt
    > war...
    Doch, denn wenn ich den Vorposter richtig verstanden habe, dann sollte das System bei einer zu langen E-Mail-Adresse das Anlegen des Accounts verweigern und nach einer kürzeren fragen. Das würde sehr wohl den Bug verhindern.

  9. Re: Bin fasziniert...

    Autor: Trollmagnet 20.09.15 - 11:13

    EifX schrieb:
    --------------------------------------------------------------------------------
    > Da ein
    > Aktivierungslink geschickt wird, muss man eine Email-Adresse bei der
    > entsprechenden Domain besitzen, um beim Bugtracker mitmachen zu können.

    Nein, muss man nicht. Genauer lesen, bitte:

    Golem.de schrieb:
    --------------------------------------------------------------------------------
    > "aaa[...]aaa@mozilla.com.attackerdomain.com". Die E-Mail-Adresse ist dabei
    > genau 255 Zeichen lang - plus die Zeichen der Angreiferdomain. Die
    > überstehenden Zeichen werden in der Datenbank abgeschnitten, nicht
    > jedoch bei der Aktivierungs-E-Mail.

  10. Re: Bin fasziniert...

    Autor: KrayZee 20.09.15 - 19:09

    haben die noch nie von "Never Trust Your Users" gehört? sobald iwas verdächtiges geschieht direkt verweigern, dazu zählt auch eine emailadresse die 255 zeichen übersschreitet. alternativ die regex ändern dass nach dem @mozilla.com keine zeichen mehr folgen dürfen.
    aber ich geb zu man kann nicht immer an alles denken.

  11. Re: Bin fasziniert...

    Autor: EifX 20.09.15 - 21:54

    Jepp, da hab ich den Vorposter wohl missverstanden ;)

  12. Re: Bin fasziniert...

    Autor: EifX 20.09.15 - 22:13

    Trollmagnet schrieb:
    --------------------------------------------------------------------------------
    > EifX schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Da ein
    > > Aktivierungslink geschickt wird, muss man eine Email-Adresse bei der
    > > entsprechenden Domain besitzen, um beim Bugtracker mitmachen zu können.
    >
    > Nein, muss man nicht. Genauer lesen, bitte:
    >
    > Golem.de schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > "aaa[...]aaa@mozilla.com.attackerdomain.com". Die E-Mail-Adresse ist
    > dabei
    > > genau 255 Zeichen lang - plus die Zeichen der Angreiferdomain. Die
    > > überstehenden Zeichen werden in der Datenbank abgeschnitten, nicht
    > > jedoch bei der Aktivierungs-E-Mail.

    Hab ich doch! Anscheinend verstehen wir den Artikel wohl nur anders...

    Wenn ich das richtig verstanden hab, entsteht der Bug wiefolgt:
    Vorgabe: @bla.de ist erlaubt.

    Ein User legt eine Email-Adresse, wie im Beitrag gezeigt an. (aaa[...]aaa@bla.de.boesedomain.de). Die Email-Adresse wird anscheinend entweder in der Session oder im Javascript als Variable gespeichert. Aufgrund dieser Daten wird dann auch der Bestätigungslink geschickt.

    Ob die Adresse jedoch zu den "vertrauten Domains" gehört, wird vermutlich im Backend geprüft. Bei der Prüfung, ob der Domain vertraut werden darf, werden anscheinend die Daten aus der Datenbank geladen, die vorher durch den Klick auf "Registrierung abschließen" dort gespeichert wurden. Nun, beim Neuladen der Seite, wird vom Backend geprüft, ob die eingegebene Mail-Adresse ok ist und gibt dem Frontend das OK. Das Frontend hat ja noch die Daten (sei es durch JavaScript, POST-Params, Cookie, Session-Inhalte die mitgeschickt wurden,...) und verwendet die auch. Es werden zumindest NICHT die Daten aus der Datenbank verwendet.

    Das ist für mich der Bug, der im Artikel beschrieben steht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Polizeipräsidium Mittelfranken, Nürnberg
  2. Polizeipräsidium München, München
  3. Blickle Leitstellen & Kommunikationstechnik GmbH & Co KG, Ludwigsburg
  4. HxGN Safety & Infrastructure GmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-72%) 8,50€
  2. 2,99€
  3. (-77%) 13,99€
  4. (-79%) 5,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

Core i9-10980XE im Test: Intel rettet sich über den Preis
Core i9-10980XE im Test
Intel rettet sich über den Preis

Nur wenige Stunden vor AMDs Threadripper v3 veröffentlicht Intel den i9-10980XE: Der hat 18 Kerne und beschleunigt INT8-Code für maschinelles Lernen. Vor allem aber kostet er die Hälfte seines Vorgängers, weil der günstigere Ryzen 3950X trotz weniger Cores praktisch genauso schnell ist.
Ein Test von Marc Sauter

  1. Prozessoren Intel meldet 14-nm-Lieferprobleme
  2. NNP-T und NNP-I Intel hat den T-1000 der künstlichen Intelligenz
  3. Kaby Lake G Intels AMD-Chip wird eingestellt

  1. Snapdragon 8c/7c: Zwei Chips für Chromebooks und Win10 on ARM
    Snapdragon 8c/7c
    Zwei Chips für Chromebooks und Win10 on ARM

    Qualcomm stellt sich breiter auf: Der Snapdragon 8c folgt auf den Snapdragon 8cx und ist für günstigere Notebooks mit Windows 10 on ARM gedacht, der Snapdragon 7c wird in Chromebooks stecken.

  2. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.

  3. Cloud Gaming: Stadia hat neue Funktionen und ein Spiel mehr
    Cloud Gaming
    Stadia hat neue Funktionen und ein Spiel mehr

    Nutzer des Spielestreamingdienstes Stadia können über das Gamepad auch den Google Assistant verwenden - allerdings mit Einschränkungen. Außerdem gibt es mit Darksiders Genesis erstmals ein neues Spiel auf der Plattform.


  1. 21:30

  2. 16:40

  3. 16:12

  4. 15:50

  5. 15:28

  6. 15:11

  7. 14:45

  8. 14:29