Lücken in Java und Python umgehen die Firewall
Fehler in den FTP-Umsetzungen der Programmiersprachen Java und Python können dazu missbraucht werden, aus dem Netz Angriffe auf die Systeme auszuführen. Sicherheitsforscher empfehlen, Java zu deinstallieren, bis es ein Update gibt.
(Bild: Dennis Hill, CC BY 2.0)
- Fabian A. Scherschel
Sicherheitsforscher haben eine Lücke in der FTP-Umsetzung der Java Runtime gefunden, die von Angreifern missbraucht werden kann, um die Firewall des Zielsystems zu umgehen. Da Java Fehler beim Prüfen des FTP-Anmeldenamens macht, kann ein Angreifer per Carriage Return und Line Feed (über die Befehle <CR> und <LF>) diese Prüfung abbrechen und eigene Befehle in die FTP-Session einschleusen. Das wiederum erlaubt Man-in-the-Middle-Angriffe auf den Zielrechner und weitere Exploits, wie etwa die Manipulation eines Mail-Servers zum direkten Versenden von Spam-Mail, die etwaige Filter umgeht.
Ähnliche Lücke in Python
Eine sehr ähnliche Lücke existiert in Python; auch hier ist die Runtime der Programmiersprache verwundbar. Mögliche Angriffe scheinen aber stärker eingeschränkt zu sein als bei Java. Die Forscher warnen davor, dass über Java auch Desktop-Computer angreifbar seien, wenn Java installiert ist. Auch, wenn kein Browser-Plug-in für die Software vorhanden ist. Die Forscher empfehlen, Java zu deaktivieren, bis die Lücke gestopft ist. Wann das passiert, ist unklar.
Patch erst im April?
Oracle soll seit November 2016 von der Sicherheitslücke wissen, die Python-Entwickler sogar schon seit Januar 2016. Für Java ist vor Oracles nächstem Critical Patch Update am 18. April wohl nicht mit einem Patch zu rechnen. Immerhin wollen die Forscher weitere Details zu den Lücken geheim halten, bis Software-Updates vorliegen. (fab)
