SicherheitslĂĽcke in XML-Parsern verschiedener Hersteller
Betroffen sind die XML-Bibliotheken von Sun, der Apache Software Foundation und der Python Software Foundation. Durch die große XML-Verbreitung ist die Sicherheitslücke als gefährlich einzuschätzen.
- Alexander Neumann
Der Sicherheitsdienstleister Codenomicon hat auf Schwachstellen in den XML-Bibliotheken von Sun, der Apache Software Foundation und der Python Software Foundation hingewiesen, die sich für Denial-of-Service-Angriffe (DoS) auf Anwendungen ausnutzen lassen, die auf diesen Bibliotheken basieren. Codenomicon hat die Ankündigung der Lücke im Zusammenarbeit mit dem finnischen Computer Emergency Response Team (CERT-FI) koordiniert, über deren Website sich Näheres zu der Verwundbarkeit findet.
Demnach ist ein Fehler beim Parsen von XML-Dateien dafür verantwortlich, dass Angreifer beispielsweise mittels präparierter XML-Dateien eine Anwendung zum Absturz bringen können. Codenomicon schließt nicht aus, dass sich auf diese Weise auch Code in ein System schleusen und starten lässt. Bei SOAP-Servern ließe sich etwa die Lücke aus der Ferne ausnutzen. Der Dienstleister hatte die Lücken in den verschiedenen Bibliotheken beim Testen mit speziellen Fuzzing-Tools entdeckt.
Gerade durch die weite Verbreitung von XML zum Austausch strukturierter Daten schätzt Codenomicon die Sicherheitslücke als besonders gefährlich ein und rät Entwicklern, sobald wie möglich zu reagieren. Teilweise haben die betroffenen Unternehmen und Open-Source-Gruppierungen auf das Problem reagiert und Empfehlungen und Patches für die Lücke bereitgestellt.
Siehe dazu auch:
- A Security Vulnerability in the Java Runtime Environment (JRE) With Parsing XML Data May Allow a Remote Client to Create a Denial of Service (DoS) Condition
- Apache SVN Revision 781488
- Codenomicon: XML Security and Fuzzing
(ane)
