:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Welche CVEs sind kritisch, welche nicht? Wie angreifbar ist WebGoat wirklich?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Das JFrog Security Research Team hat untersucht, ob sich die Schwachstellen der bewusst unsicher konzipierten Docker-Anwendung WebGoat wirklich ausnutzen lassen. Die Analyse legte Anfälligkeiten dar, die als ernst einzustufen sind, andere könnten hingegen vorerst ignoriert werden.
Bereits eine frühere Untersuchung der Ausnutzbarkeit von CVEs (Common Vulnerabilities and Exposures) in den wichtigsten DockerHub-Images durch das JFrog Security Research Team ergab, dass 78 Prozent der gemeldeten CVEs tatsächlich nicht ausnutzbar waren. Dieses Mal nutzten die Sicherheitsforscher das Xray Contextual Analysis Feature, das automatisch die Anwendbarkeit der gemeldeten CVEs analysiert, um OWASP WebGoat zu scannen. WebGoat ist eine absichtlich unsicher konzipierte Anwendung, mit der Entwickler Schwachstellen in javabasierten Anwendungen mit gängigen und beliebten Open-Source-Komponenten testen können.
Die wichtigsten Ergebnisse
Die kontextbasierte Analyse des WebGoat-Docker-Images ergab, dass von den 60 CVEs, die mit einem Critical-CVSS-Score (Common Vulnerability Scoring System) gemeldet wurden, nur zehn tatsächlich ausnutzbar sind. Dieses exemplarische Ergebnis verdeutlicht, wie Contextual Analysis Application-Security- und Sicherheitsteams dabei unterstützen kann, sich vorrangig auf tatsächlich ausnutzbare CVEs zu konzentrieren und die Behandlung von CVEs, die nicht ohne Weiteres ausnutzbar sind, hintanzustellen.
Analyse der als ausnutzbar gemeldeten CVEs
Zunächst erfolgte die Analyse der zehn kritischen CVEs, die von den Ergebnissen der Kontextanalyse als anwendbar gemeldet wurden. Die Ausnutzbarkeitsbedingungen für diese zehn CVEs werden von der Kontextanalyse in diesem Docker-Image bestätigt. Das bedeutet, dass sie höchstwahrscheinlich von Black-Hat-Hackern angegriffen und ausgenutzt werden, so wie es in dieser Untersuchung durch die White-Hat-Hacker getan wurde.
CVE-2013-7285
Die erste nennenswerte CVE-Meldung betrifft eine Befehlsinjektion in XStream für Java. Sie ermöglicht die Ausführung von Remote-Code, wenn manipulierte XML- oder JSON-Daten deserialisiert werden. Um diese Schwachstelle ausnutzen zu können, muss ein Angreifer in der Lage sein, beliebige Eingaben an die Funktion xstream.fromXML() zu übermitteln. Eine Installation von XStream in der verwundbaren Version reicht nicht aus. Die Ergebnisse der Kontextanalyse des WebGoat-Abbilds helfen zu verstehen, ob diese Sicherheitsanfälligkeit kontextbezogen anwendbar ist. Das Ergebnis: XStream ist in der Anwendung verwundbar, oder anders ausgedrückt, die verwundbare Funktion fromXML() ist mit externer Eingabe aufrufbar. Diese Schwachstelle sollte daher als ernstes Problem behandelt werden. Die Tester konnten sie erfolgreich ausnutzen, indem sie ein bösartiges deserialisiertes Objekt als Parameter an diese Funktion übergeben und Remote-Code ausgeführt haben.
CVE-2022-22965 (SpringShell)
Eine andere als besonders kritisch gemeldete CVE ist SpringShell, eine Class-Loader-Schwachstelle in Spring Web, die zur Remote-Code-Ausführung führt. Um diese Schwachstelle auszunutzen, muss ein Angreifer einen exponierten Web-Endpunkt finden, der Anfrageparameter an POJOs (Plain Old Java Objects) bindet. Die Schwachstelle liegt im „Datenbindungs“-Mechanismus von Spring Framework. Dieser Mechanismus übernimmt Parameter aus der Anfrage-URL oder dem Anfragekörper und weist sie Funktionsargumenten oder in einigen Fällen Javaobjekten zu.
Analyse der als nicht ausnutzbar gemeldeten CVEs
Kontextuelle Scanner laufen auf ihrer konservativsten Einstellung, die mit extrem hoher Zuverlässigkeit Schwachstellen erkennt, die als nicht ausnutzbar eingestuft sind. Ein entscheidender Vorteil ist die Möglichkeit, die Anzahl der zu prüfenden Schwachstellen automatisch zu reduzieren. Dies hilft Sicherheitsingenieuren, Schwachstellen auf der Grundlage ihrer Ausnutzbarkeit und nicht nur ihres Schweregrads zu priorisieren und bei Bedarf sogar zu ignorieren.
Fazit
Die Ergebnisse der Sicherheitsforscher zeigen, dass nur zehn der 60 CVEs, die kontextuell analysiert wurden, tatsächlich ausnutzbar sind. Dies ist recht überraschend, wenn man bedenkt, dass WebGoat eine Anwendung ist, die absichtlich unsicher konzipiert wurde. Tatsächlich stimmen diese Ergebnisse mit dem überein, was bisher über CVEs bekannt ist – auch im Jahr 2023 sind die Bedingungen für die Ausnutzung von CVEs in den meisten Fällen nicht erfüllt.
Weitere Informationen bietet der Artikel „Testing the actual security of the most insecure Docker application“ im JFrog-Blog.
(ID:49258469)
:quality(80)/p7i.vogel.de/wcms/e3/79/e3794052acbc4defa0bd0532d3d78e1a/0113383977.jpeg "JFrog hat sich bis ins Detail mit einer kritischen Sicherheitslücke in Spring WebFlux befasst. (Bild: Darwin Laganzon)")
:quality(80)/p7i.vogel.de/wcms/5e/fd/5efdcc68a19f74c2fb968afc1109c15e/0114895216.jpeg "Wie sich die Schwachstelle CVE-2023-38545 für einen Denial-of-Service ausnutzen lässt, wurde bereits unter Beweis gestellt. (Bild: <a href=https://jfrog.com/blog/curl-libcurl-october-2023-vulns-all-you-need-to-know/>JFrog Blog</a>)")