l+f: XSS's not dead, die zweite
Nur weil es keine Schlagzeilen mehr macht, ist es noch lange nicht aus der Welt: Heute gibt's XSS + CSRF in der OpenSource-Firewall pfSense.
Es gibt zwei Szenarien, in denen Sicherheitsprobleme wie XSS und dessen böser Schwager Cross Request Forgery (CSRF) besonders bitter sind: Zum einen, wenn es wie gestern bei Amazon auf populären Web-Sites mit besonders sensiblen Daten auftritt. Zum anderen, wenn es die Möglichkeit bietet, einem Admin Zugangsdaten abzuluchsen oder Befehle unter zu schieben.
Letzteres hat gerade die beliebte Open-Source-Firewall pfSense getroffen. Das Web-Interface filterte Benutzereingaben nicht ausreichend, sodass ein Angreifer eine aktive Sitzung des Admins als Bande für eingeschleustes JavaScript missbrauchen konnte (XSS). Die Entdecker von High-Tech Bridge dokumentieren darüber hinaus sogar eine URL, deren Aufruf die Datei /etc/passwd gelöscht hätte (CSRF). pfSense Version 2.2.1 beseitigt diese Lücken.
lost+found: Die heise-Security-Rubrik fĂĽr Kurzes und Skurriles aus der IT-Security
(ju)
