Christopher Kunz

potenziell eigenen Code hätte ausführen können und das ist dann in der nach oben geschlossenen CVSS-Skala halt so eine 10.

Also das kriegt dann die volle Punktzahl und da dachte ich immer noch, naja gut, das ist eine schwere Sicherheitslücke, aber ist das jetzt wirklich so wichtig?

Ich meine, wie viele Leute in Deutschland kennen dieses Produkt?

Also da bin ich auch nicht so firm drin, aber am Ende, wenn du Input in einer Web-Anwendung weiterverarbeitest, dann serialisierst du den auf eine bestimmte Art und Weise.

Also zum Beispiel, JSON ist ja auch eine Art Serialisierung von Daten.

Und dann hast du eine Deserialisierungsfunktion, die kriegt dann ja User-Input.

Der kommt irgendwo aus irgendeinem Web-Formular oder aus irgendeiner Session-Variable oder sowas.

Das ist also in der Regel vom User-Input.

kontrolliert und wenn du dann deine Deserialisierung falsch anstellst, dann kann da Code mit durchrutschen, also dass dann zum Beispiel nach dem Ende des Arrays noch irgendeine, in diesem Fall Java-Methode mit ausgeführt wird.

Es gibt Generatoren online, da kann ich mir dann entsprechende Payloads, die heißen dann Gadget-Chains, selber generieren und kann, wenn ich so eine Lücke irgendwo finde, die dann ausnutzen, um beispielsweise eine Web-Shell auszuführen oder Calc-Exe zu starten oder was auch immer man so mit so einem

Remote-Code-Execution-Ding so macht.

Die sind bekannt durch eben sowas wie die Tool-Shell-Lücke, die es letztes Jahr im SharePoint gab und die auch sehr weitlich ausgenutzt wurde, wo es auch größere Verwirrungen darum gab, wie viele Lücken das eigentlich sind und wie gefährlich die alle sind, aber diese Deserialisierungslücken sind

relativ alltägliche Geschichte, die wir so bei High-Security recht häufig im Ticker sehen.

Deswegen war ich jetzt nicht unheimlich panisch und aufgeregt, als ich das gelesen habe, weil das ist eigentlich so, bei Microsoft heißt das Mittwoch, wenn so eine Lücke rauskommt.

Ich habe dann trotzdem eine Meldung dazu gemacht, weil meine Quelle sagte, das solltet ihr euch doch mal angucken, zumindest mal ein bisschen was dazu schreiben, weil das könnte irgendwie steil gehen.

Und die Quelle hatte recht und

Ich habe eine Meldung gemacht, habe die online gestellt und da hatte jemand echt einen guten Riecher.

Das hätte ich nämlich so nicht gesehen und die Meldung lief jetzt erstmal auch so, wie ich das erwartet hatte.

Also mehr oder weniger unter Ausschluss der Öffentlichkeit, weil dieses Produkt eben in Deutschland nur sehr, sehr wenige Unternehmen überhaupt einsetzen.

Und dann ist auch so ein Security Alert an einem Sonntag im Grunde was, was nicht so viele Leute lesen.