Path Traversal Schwachstelle in Go Web Framework Gorilla

Table of Contents

Durch die kritischen Sicherheitslücke in Palo Alto Networks PAN-OS (Kennung CVE-2024-3400) wurde Eine Path Traversal Schwachstelle in Go Webframeworks Gorilla und dessen Session-Handling aufgedeckt. Da beliebte Webframework Gorilla nach unserer Github Recherche in vielen Open Source Projekten verwendet.

Eine Überprüfung des store.go Files im Gorilla Toolkit durch den GitHub-Nutzer “mauke” hat eine potentiell riskante Handhabung von Dateipfaden aufgedeckt. Die Änderungen im Code sollen die Sicherheit verbessern:

- filename := filepath.Join(s.path, "session_"+session.ID)
+ filename := filepath.Join(s.path, filepath.Base("session_"+session.ID))

Durch die Verwendung von filepath.Base soll verhindert werden, dass übergeordnete Verzeichnisse in den Dateipfad eingeschlossen werden, was zu einer “Directory Traversal” Schwachstelle führen könnte. Dies ist eine gängige Sicherheitsmaßnahme, um zu verhindern, dass externe Akteure Zugriff auf das gesamte Dateisystem eines Servers erhalten könnten.

Obwohl der direkte Zusammenhang dieser Code-Änderung mit CVE-2024-3400 noch nicht vollständig bestätigt ist, hebt sie die Bedeutung eines sicheren Session-Managements und der Validierung von Dateipfaden innerhalb von Anwendungen hervor. Für das PAN-OS von Palo Alto könnte eine ähnliche Schwachstelle in der Handhabung von Session-Dateien auf den GlobalProtect Gateways ausgenutzt worden sein, um unautorisierten Code auszuführen.

Empfehlungen für Entwickler und Netzwerkadministratoren

  • Überprüfung des Session-Managements: Entwickler, die das Gorilla Webframework nutzen, sollten sicherstellen, dass alle Dateipfade sicher validiert werden, um Directory Traversal Angriffe zu verhindern.
  • Patch-Management: Netzwerkadministratoren sollten darauf achten, alle verfügbaren Sicherheitsupdates für PAN-OS und andere betroffene Systeme umgehend zu installieren.
  • Code-Reviews: Regelmäßige Überprüfungen des eigenen Codes auf Sicherheitslücken, insbesondere in Bezug auf die Handhabung externer Eingaben und Session-Daten, sind essentiell.

Related Posts

Alte MS Office Versionen im Ziel von globaler Steganographie Angriffswelle

15. April 2024 Eine Untersuchung von Positive Technologies hat ergeben, dass die Cybercrime-Gruppe TA558 in einer breit angelegten Kampagne, genannt “SteganoAmor”, staatliche und private Sektoren auf der ganzen Welt ins Visier nimmt. Die Gruppe, die bisher vorwiegend in Lateinamerika aktiv war, hat ihre Aktivitäten ausgeweitet und verwendet dabei eine Vielzahl von Malware-Tools. Bemerkenswert ist die Nutzung von Steganografie - das Verstecken von Malware in Bilddateien - und legitim erscheinenden Servern für Command and Control (C2) Operationen sowie Phishing-Angriffe.

Read More

Lenovo: kritische Schwachstellen in Barebone Firmware

Lenovo hat eine Sicherheitswarnung für seine Barebone Enclosures herausgegeben. Die Firmware der System Management Module (SMM v1 und v2) sowie des Fan Power Controller (FPC) weist kritische Schwachstellen aus, die zu Denial Of Service, Informationslecks und Privilegienerweiterungen führen können.

Read More

Halbleiterhersteller Nexperia: Unbefugter Zugriff auf Firmenserver

Nexperia, ein führender globaler Halbleiterhersteller, hat am 12.4.24 bekanntgegeben, dass im März 2024 unbefugte Dritte Zugang zu bestimmten IT-Servern des Unternehmens erlangten.

Read More