Versionen im Vergleich

Alte Version 4

changes.mady.by.user Falk Zilm

Gespeichert am

verglichen mit

Neue Version 5

changes.mady.by.user Maik Stüker

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Kommentar: Version 4.2023.8

...

Warnung

Achtung! 
In allen Nuclos Versionen bis 4.20222023.13 7 ist die Remoting Schnittstelle, welche vom Rich-Client verwendet wird, angreifbar. 
Ursache und Maßnahmen werden nachfolgende erläutert.

...

In einer weiteren Analyse lässt sich die Ausnutzung auf die Java Serialisierung zurückführen, im spezifischen Fall wird eine Komponente von Spring (HttpInvoker) angreifbar für eine sogenannte Remote Code Execution.
Dies bedeutet, mit einer präparierter Anfrage deserialisiert Java/Spring das ankommende Binär-Objekt zu einer Java-Klasse welche wenn selbst verändert Mittels Reflection Java-Programmcode ausführt, der Angreifer kann auf dem entfernten Server jegliches Kommando ausführen als Unterprozess vom Serverprozess.

Möglich wird dies in Nuclos dadurch, dass die Kommunikation mit dem Rich-Client über besagte Schnittstelle (Java RMI - Remote Method Invocation) läuft welche über HTTP/HTTPS zu dem Server transportiert wird.
Jeder der Zugriff auf den die Remoting Schnittstelle des Nuclos-Server (Webclient / REST / Richclient) Servers hat, kann eine solche präparierte Anfrage an den Server senden. 

...

Ziel-Url ist zum Beispiel:
<base-server-url>/<application context e.g nuclos>/remoting/ServerMetaService

Maßnahmen für Versionen <= 4.2023.7

  • Sollte Nuclos im Internet erreichbar sein per HTTP auch für den Richclient sollte umgehend im Proxy oder Webserver die Remoting Schnittstelle geblockt werden und/oder nur für einen vertrauenswürdigen IP-Bereich freigegeben werden.
    Dies betrifft alle URLs die */remoting/* enthalten. 

  • Mit Nuclos Version 4.2022.14 wird es einen neuen Server Parameter geben wurde ein neuer System Parameter eingeführt um IP-Bereiche zu definieren die für die Remoting Schnittstelle zugelassen sind.
    Security-Einstellungen (SECURITY_IP_ALLOW_REMOTING) Weiterhin ist eine Einstellung geplant um diese Einschränkung direkt bei der Installation festzulegen.


Warnung

Ein Update auf Nuclos 4.

...

2023.

...

8 wird dringend empfohlen!

Version 4.2023.8

Mit dieser Version steht erstmalig eine komplett auf das JSON Format umgestellte Remoting Schnittstelle zur Verfügung. Java RMI wird zusätzlich standardmäßig deaktiviert, kann aber mittels des Eintrages remoting.java-rmi.enabled=true in der server.properties wieder aktiviert werden. Achtung, wird vom Installer wieder zurückgesetzt!