Sicherheits-Lücke

DNS Rebinding in Java ist wieder aufgetaucht

Stefano Di Paola hat einen interessanten Artikel veröffentlicht, in dem er das erneute Problem mit DNS Rebinding in Java beschreibt.

Offensichtlich ha Di Paola einen Weg gefunden, alte Sicherheitslücken in Java wieder zu erwecken. Diese wurden eigentlich zwischen 2007 und 2008 bereinigt. Allerdings scheinen sich die Schwachstellen wieder eingeschlichen zu haben oder wurden nie komplett ausgemerzt.

Ein denkbares Szenario ist zum Beispiel, dass man localhost.<irgendeine Domäne>.de auf 127.0.0.1 bindet. Somit ließen sich Cookies für <irgendeine Domäne>.de setzen oder auch auslesen - ein XSS-Angriff auf einen lokalen Dienst. Die Schwachstelle soll mit künftigen Updates endgültig ausgemerzt werden. (jdo)