25. Oktober 2011

Die Wolke hat keine Lücken

Die Schwachstelle in Amazons Cloud Service, die von Forschern der Ruhr-Universität  Bochum gefunden wurde, ist keine Schwachstelle in Cloud-Diensten. Das liest sich jedoch leider in manchen Meldungen, als sei der Cloud-Dienst verwundbar – nur wenige wählen die Überschrift besser. Vielmehr bestanden die Schwachstelle(n) in den Webanwendungen, die zur Verwaltung dieser Dienste genutzt werden. Schwachstelle in Webanwendung != Schwachstelle im Cloud-Computing bzw. Cloud-Dienst.

Verwundbar gewesen ist hier eine SOAP-Schnittstelle zur Verwaltung von EC2-Diensten gegenüber sogenannter XML-Signature Wrapping Attacken. Kurz zusammengefasst kann man sagen, dass dem signierten Inhalt der SOAP-Nachricht weiterer Content hinzugefügt bzw bestehender verändert wurde, der trotz Signaturprüfung zur Ausführung für valide gehalten wurde und dadurch verarbeitet wurde.

Weiterhin sind Cross-Site-Scripting (XSS) Schwachstellen entdeckt worden.

Sollten Sie neugierig geworden sein oder wünschen Sie Beratung zum Thema Webanwendungssicherheit bzw. Prüfung von Webdiensten, so nehmen Sie doch einfach und unverbindlich Kontakt mit uns auf.

 

/sb