Af Torben B. Sørensen, 21/02/17
I Java ligger sårbarheden i funktionen XML eXternal Entity (XEE), som gør det muligt at hente eksterne XML-data. Data kan blandt andet hentes via FTP.
Implementeringen af FTP i XEE filtrerer ikke linjeskift fra. Derfor er det muligt at indsætte kommandoer i en FTP-URL.
Sikkerhedsforsker Alexander Klink har demonstreret, hvordan sårbarheden kan bruges til at sende kommandoer til en mailserver og dermed sende e-mails fra offerets server.
Sikkerhedsforsker Timothy Morgan har opdaget, at der er videre perspektiver ved sårbarheden, som både findes i Java og i Python.
Ifølge ham er det muligt at danne en URL, der giver en angriber adgang til at udveksle data med en computer bag en firewall.
Anbefaling
Man kan beskytte sig mod angreb på sårbarheden ved at slå "classic mode FTP" fra i firewallen. Man kan også fjerne Java.
Links
- SMTP over XXE − how to send emails using Java's XML parser, blogindlæg af Alexander Klink
- Advisory: Java/Python FTP Injections Allow for Firewall Bypass, Timothy Morgan
- Java and Python have unpatched firewall-crossing FTP SNAFU, artikel fra The Register