23.06.2017 Linux Coredumps als mögliches Sicherheitsrisiko

Symbolbild

Coredumps helfen bei der Fehleranalyse nach einem Softwareabsturz. Sind sie auf Webseiten allgemein einsehbar, können aber auch private Daten wie Passwörter veröffentlicht werden.

Wenn unter Linux ein Programm abstürzt, kann eine Kopie des Programmspeichers in einen sogenannten Coredump gespeichert werden. Dabei wird der Speicherinhalt eines abgestürzten Programms in eine Datei geschrieben. In der Standardeinstellung des Linux-Kernels heißt diese Datei schlicht "core" und wird im aktuellen Verzeichnis abgelegt. Diese Coredumps lassen sich später mit Debugging-Tools analysieren, um die Ursache des Absturzes herauszufinden.

Je nach Konfiguration enthalten Coredumps teilweise oder komplett alle Daten, die eine Applikation zum Zeitpunkt des Absturzes im Arbeitsspeicher hatte. Darunter können sich auch private Daten, wie zum Beispiel Passwörter, befinden. Ein Coredump sollte daher niemals an nicht vertrauenswürdige Personen weitergegeben werden.

Viele Websites lassen jedoch unbeabsichtigt einen Zugriff auf Coredumps zu: Im Falle des Absturzes einer Webapplikation landet der Coredump häufig direkt im Web-Verzeichnis und kann von dort einfach heruntergeladen werden. Ein Angreifer kann somit Webseiten nach Coredumps absuchen, indem er URLs der Form http://example.com/core abruft.

Einfacher Selbsttest

Es lässt sich leicht herausfinden, ob auf der eigenen Website ein Coredump vorhanden ist: Man versucht, die Datei /core von einer Domain herunterzuladen. Falls sich dort eine Datei herunterladen lässt, die wie eine Executable aussieht, ist der Coredump öffentlich zugänglich.

Wer einen derartigen Coredump in einem Webverzeichnis vorfindet, sollte ihn dort umgehend entfernen. Es sollte zudem sichergestellt werden, dass künftig keine weiteren Coredumps dort abgelegt werden. Sicherheitstests für Webseiten und Pentestern wird empfohlen diese Lücke bei künftigen Tests zu berücksichtigen.

Weitere Informationen:

Datum der Veröffentlichung: 23.06.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria