#JetLeak: Jetty-Webserver gibt Verbindungsdaten preis
Der Jetty-Server steckt unter anderem in Hadoop, Heroku, Eclipse und der Google AppEngine. Angreifer können eine jetzt entdeckte Lücke dazu nutzen, Daten aus den Verbindungen anderer Nutzer auszuspionieren.
(Bild: GDS, Thijs Bosschert)
- Fabian A. Scherschel
Im Java-Webserver und Servlet-Container Jetty wurde eine Sicherheitslücke entdeckt, die stark an die mittlerweile berüchtigte Heartbleed-Lücke erinnert. In Anlehnung an diese wurde sie deshalb auch "JetLeak" getauft. Ein Angreifer kann die Schwachstelle missbrauchen, um beliebige Daten aus Paket-Headern und POST-Requests auszulesen. Laut der Sicherheitsfirma Gotham Digital Science, welche die Lücke veröffentlicht hat, ermöglicht sie, auf Cookies, Session-Token, Nutzernamen und Passwörter aus den Verbindungen andere Nutzer zuzugreifen.
Ähnlich wie bei Heartbleed erlaubt die Lücke es, eine bestimmte Menge Daten aus dem Speicher der Servers auszulesen, indem man eine präparierte Anfrage an den Server schickt. Der Fehler steckt in einer Debug-Funktion, die dem Nutzer Informationen zurück schickt, falls der Server unerwartete Zeichen in einem Request erhält. Durch einen Fehler im Programm kann ein Angreifer dies so manipulieren, dass er Inhalt aus einem früheren Request einer anderen Verbindung bekommt. Diese Debug-Funktion scheint auch bei Servern im Produktiv-Betrieb standardmäßig aktiviert zu sein.
Die Jetty-Versionen 9.2.3 bis 9.2.8 sind betroffen; Beta-Versionen des Release-Zweiges 9.3.x sollen ebenfalls die Lücke aufweisen. Jetty-Nutzer sollten Version 9.2.9.v20150224 installieren, um die Lücke zu stopfen. Da Jetty in eine Reihe von anderen Produkten integriert ist, sollten die Nutzer dieser Software ebenfalls nach Updates Ausschau halten. Zu der Software, die Jetty benutzt, gehören unter anderem Apache Camel, Eclipse, Eucalyptus, Googles AppEngine, Heroku und Hadoop. (fab)
