Sicherheitsprobleme durch präparierte XML-Signaturen [Update]
Präparierte XML-Signaturen können dazu führen, dass ein Server beliebigen Code ausführt. Sun hat bereits einige Produkte aktualisiert. Andere Hersteller können ebenfalls betroffen sein.
- Daniel Bachfeld
Einer Präsentation auf der Black-Hat-Konferenz zufolge können sich Web-Services zum Sicherheitsproblem entwickeln. Zum Schutz und zur Wahrung der Integrität der ausgetauschten XML-Daten zwischen Server und Client setzen diese digitale XML-Signaturen (XMLDSIG) ein. XML-Signaturen unterscheiden sich von der herkömlichen ASN.1-Syntax von X.509.Zertifikaten und lassen sich leichter verarbeiten und einfacher mit Inhalten verknüpfen. Leider bereitet die Verarbeitung von XML-Signaturen mitunter Probleme, wie Brad Hill von iSec in seiner Präsentation aufzeigt. Insbesondere die Extensible Stylesheet Language Transform (XSLT) bereitet Probleme, ermöglicht sie doch das Manipulieren von Dokumenten, um sich in unterschiedlichen Ausgabeformaten darzustellen.
XSLT-Stylesheets können auch in der Signatur enthalten sein, die beim Einlesen durch einen fehlerhaften Parser unter Umständen dazu führen, dass der Server beliebigen Code ausführt. Hill nennt zwei mögliche Container in XMLDSIG, deren Manipulation für Angriffe geeignet sind: KeyInfo und SignedInfo. Hill hat zwar bereits Mitte Juli seine Studie zur Sicherheit von Webanwendungen und Angriffen über präparierte Signaturen veröffentlicht, dies fand aber noch relativ wenig Beachtung. Allerdings sah sich Sun damals schon gezwungen, eine neue Java-Version zu veröffentlichen, um derartige Lücken in seinen Produkten zu schließen. Nun legt Sun nochmal nach und gibt ein Update für die Java System Portal Server Software 7.0 für Sparc, Linux und x86 heraus. Die Versionen 6.3.1 und frühere sowie 7.1 und 7.1u1 sind nicht betroffen.
Hill nennt in seiner Analyse noch das XML Security Toolkit (XSECT) vor Version 1.10 des Herstellers Institute for Applied Information Processing and Communication als verwundbares Produkt. Auch deren XML Signature Library (IXSIL) weist den Fehler auf. Ob und welche anderen Anwendungen weiterer Hersteller von dem Problem ebenfalls betroffen sind, ist derzeit nicht bekannt.
Update
Für IXSIL und XSECT stellt das Institute for Applied Information Processing and Communication (IAIK) seit dem 28. März Updates bereit, die die Lücken schließen.
Siehe dazu auch:
- Command Injection in XML Signatures and Encryption, Bericht von Brad Hill
- A Security Vulnerability in Processing XSLT Style Sheets Affects Sun Java System Portal Server Software 7.0, Fehlerbericht von Sun
(dab)
