Login
Newsletter
Werbung

Fr, 6. Oktober 2006, 18:58

Software::Security

Überläufe und Cross-Site-Scripting führen Liste der Sicherheitslücken an

Ein Forscher von MITRE hat den Versuch unternommen, die Sicherheitslücken der letzten Jahre nach ihrer Art zu klassifizieren.

Seit vielen Jahren veröffentlicht das CVE (Common Vulnerabilities and Exposures)-Projekt von MITRE Berichte über Sicherheitslücken in Software und Systemen. Seit rund fünf Jahren zeichnet es in seinen Sicherheitsmeldungen auch die Art der Fehler auf, die zu den Problemen führen. Im Rahmen des Common Weakness Enumeration (CWE)-Projekts hat Steve Christey von MITRE eine eingehende Analyse dieser Berichte durchgeführt.

Der Autor weist darauf hin, dass die Analyse nur so genau sein kann wie die zugrunde liegenden Daten. Diese dürften zwar repräsentativ sein, doch eine gewisse Unsicherheit bleibt aufgrund der Vielfalt der Gemeinschaft, die die Sicherheitsmeldungen zusammenträgt. Über 16.000 Einträge wurden analysiert, wobei das Jahr 2006 nur ungefähr bis zum August berücksichtigt werden konnte.

Eine erste Erkenntnis der Analyse ist, dass die Zahl der Lücken in Webanwendungen stark zugenommen und mittlerweile Pufferüberläufe hinter sich gelassen hat. Christey vermutet, dass die relative Leichtigkeit, mit der man Webanwendungen analysieren kann, sehr dazu beigetragen hat, doch seien auch schlecht geschriebene Anwendungen weit verbreitet.

In solchen Anwendungen war in den Jahren 2005 und 2006 Cross-Site-Scripting (XSS) das größte Problem, SQL-Injektion das zweitgrößte. Die Möglichkeit, Dateien von einem anderen Server in PHP-Code zu inkludieren, gibt Anlass zu Bedenken, auch wenn das Problem mit einer korrekten Konfiguration meist vermieden werden kann.

Betrachtet man die Sicherheitsmeldungen der Betriebssystem-Anbieter, zu denen auch alle Linux-Distributoren zu zählen sind, waren Pufferüberläufe am häufigsten anzutreffen, gefolgt von XSS und Zahlenüberläufen. Letztere kamen erst im letzten Jahr in größerer Zahl auf. Dies könnte dem Autor zufolge bedeuten, dass das Interesse der Sicherheitsexperten am Finden solcher Probleme, speziell in häufig genutzter Software, besonders hoch war.

Bemerkenswert sind die Unterschiede der Arten von Sicherheitsproblemen in offenen (OSS) und proprietären (CSS) Softwareprodukten. 45 Prozent aller Sicherheitslücken in proprietärer Software wurden ohne nähere Informationen veröffentlicht, so dass sie sich nicht genau klassifizieren ließen; bei OSS waren es immerhin noch 10 Prozent. Aus diesem Grund sind jedoch die weiteren Vergleiche zwischen OSS und CSS sehr unsicher. Bei Puffer- und Zahlen überläufen sieht die Studie keine Unterschiede zwischen OSS und CSS, ein Indikator dafür, dass Überläufe auch ohne Kenntnis des Quellcodes gefunden werden können. Rechnet man noch die Formatstring-Probleme hinzu, dann scheint die Quelloffenheit doch eine Rolle zu spielen, vielleicht weil es einfach ist, im Quellcode nach den gefährdeten Aufrufen wie sprintf zu suchen. Es gibt weitere Unterschiede zwischen OSS und CSS, deren Erklärung jedoch eingehendere Untersuchungen erfordern würde.

Die Studie sieht viele Möglichkeiten, die Analysen in späteren Arbeiten zu vertiefen. Viele Fragen bleiben derzeit offen, beispielsweise ist unklar, ob die Software insgesamt sicherer wird. Der Autor beobachtet einen Anstieg bei neuen Arten von Sicherheitslücken, während die Zahl bei den älteren Typen fast konstant bleibt.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung