Java: Kritische Schwachstelle in async-http-client: Automatischer CookieStore ersetzt explizit definierte Cookies

Table of Contents

Eine kürzlich veröffentlichte Sicherheitswarnung weist auf eine kritische Schwachstelle in der Bibliothek async-http-client hin, die zahlreiche Backend-Dienste potenziell gefährden kann. Die Schwachstelle mit der CVE-ID CVE-2024-53990 betrifft alle Versionen bis einschließlich 3.0.0 und wurde in der Version 3.0.1 behoben. Entwickler, die diese Bibliothek verwenden, sind dringend aufgefordert, ein Update durchzuführen, um das Sicherheitsrisiko zu minimieren.

Das Problem liegt in der automatischen Verwaltung des CookieStore (auch bekannt als „Cookie Jar“), die standardmäßig aktiviert ist. Bei HTTP-Anfragen ersetzt der CookieStore stillschweigend explizit definierte Cookies durch solche, die denselben Namen besitzen und zuvor im CookieStore gespeichert wurden. In Szenarien mit mehreren Benutzern kann dies dazu führen, dass ein Cookie eines Benutzers für die Anfragen eines anderen Benutzers verwendet wird.

Dies ist besonders problematisch für Dienste, die Third-Party-Authentifizierungsfunktionen implementieren oder Funktionen wie Token-Refresh verwenden. Wenn beispielsweise ein Authentifizierungs-Cookie eines Benutzers durch ein Cookie eines anderen Benutzers überschrieben wird, können Folgeanfragen fehlschlagen oder, im schlimmsten Fall, unbefugten Zugriff auf sensible Daten ermöglichen.

Proof of Concept (PoC)

Ein Proof-of-Concept zeigt, wie die Schwachstelle ausgenutzt werden kann:

  1. Ein Authentifizierungs-Cookie wird in den CookieStore hinzugefügt, beispielsweise durch eine HTTP-Antwort mit einem Set-Cookie-Header.
  2. Eine weitere Anfrage wird gestellt, bei der ein anderes Cookie desselben Namens explizit angegeben wird, beispielsweise ein JWT-Token.
  3. Der CookieStore ersetzt das explizit definierte Cookie aus Schritt 2 durch das zuvor gespeicherte Cookie aus Schritt 1.

Dies kann dazu führen, dass Benutzeranfragen nicht korrekt authentifiziert werden oder unbefugte Daten offengelegt werden.

Related Posts

Datenleck beim LKA Brandenburg: BKA kappt Datenaustausch

Am 4. Dezember 2024 wurde bekannt, dass beim Landeskriminalamt (LKA) Brandenburg ein schwerwiegender IT-Sicherheitsvorfall aufgetreten ist. Das Bundeskriminalamt (BKA) unterbrach den Datenaustausch mit dem Staatsschutz des LKA aufgrund der Sorge, dass geheime Daten durch ein Leck abfließen könnten. Unzureichend gesicherte Netzwerkspeicher und W-LAN, die unter anderem Passwörter zum BKA-Server beinhalteten, stehen im Mittelpunkt der Ermittlungen. Das Innenministerium prüft derzeit auch mögliche Verstöße gegen die Dienst- und Fachaufsicht. Weitere Maßnahmen zur Verbesserung der IT-Sicherheit sind angekündigt.

Read More

Cisco warnt erneut vor Exploits einer 10 Jahre alten Sicherheitslücke in ASA WebVPN Login

Cisco hat kürzlich eine erneute Warnung zu einer seit 2014 bekannten Sicherheitslücke in seiner Adaptive Security Appliance (ASA) veröffentlicht. Diese Schwachstelle betrifft die WebVPN-Login-Seite und ermöglicht es einem unauthentifizierten, entfernten Angreifer, ein Cross-Site-Scripting (XSS)-Angriff durchzuführen. Der Angreifer könnte dies ausnutzen, indem er ein Opfer dazu bringt, einen schädlichen Link zu öffnen.

Read More

Kritische Sicherheitslücken in der Veeam Service Provider Console

Am 3. Dezember 2024 hat Veeam die Entdeckung und Behebung zweier Sicherheitslücken in der Veeam Service Provider Console (VSPC) Version 8.1 öffentlich bekanntgegeben. Diese Schwachstellen, die als CVE-2024-42448 und CVE-2024-42449 klassifiziert wurden, stellen erhebliche Risiken dar und wurden während interner Tests identifiziert.

Read More