Am 1. Juli 2024 wurde eine kritische Sicherheitslücke in der Session Middleware von GoFiber entdeckt. Die Schwachstelle betrifft die Versionen < 2.52.4 des Go-Pakets github.com/gofiber/fiber und seiner Middleware. In der neuesten Version (>= 2.52.5) wurde das Problem behoben.
Die Schwachstelle CVE-2024-38513 (CVSS 9.8/10) ermöglicht es einem Angreifer, eigene session_id-Werte zu verwenden, wodurch eine Sitzung mit diesem Schlüssel erstellt wird. Dies stellt ein erhebliches Sicherheitsrisiko dar, da ein Angreifer dadurch unbefugten Zugriff erlangen oder Session-Fixation-Angriffe durchführen kann. Websites, die sich auf das Vorhandensein einer Sitzung zur Sicherheitsüberprüfung verlassen, sind besonders gefährdet.
Die betroffenen Versionen sind:
github.com/gofiber/fiber< 2.52.4github.com/gofiber/fiber/v2< 2.52.4github.com/gofiber/fiber/v2/middleware/session< 2.52.4
Nutzer dieser Versionen sollten dringend auf die gepatchte Version 2.52.5 oder höher aktualisieren, um das Risiko zu minimieren.
Für Benutzer, die nicht sofort ein Upgrade durchführen können, werden folgende Maßnahmen empfohlen:
- Validierung von Session-IDs: Stellen Sie sicher, dass Session-IDs nicht vom Benutzer bereitgestellt werden können und vom Server sicher generiert werden.
- Session-Management: Implementieren Sie regelmäßige Rotation von Session-IDs und strenge Ablaufregeln für Sitzungen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: