idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Bereits Anfang Januar 2015 haben Wissenschaftler der Forschungsgruppe Security in Telecommunications von Prof. Dr. Jean-Pierre Seifert am Institut für Softwaretechnik und Theoretische Informatik der TU Berlin zwei schwerwiegende Sicherheitslücken in einer Software für das kollaborative Erstellen wissenschaftlicher Dokumente gefunden.
Die betroffene Software, Sharelatex[0], dient dazu, mit mehreren Wissenschaftlerinnen und Wissenschaftlern gleichzeitig an einer Publikation zu arbeiten. Sie wird unter anderem von zahlreichen amerikanischen Universitäten und der NASA eingesetzt. In ihrer Open-Source-Variante hat sie inzwischen den Weg in viele weitere national und international bekannte Forschungsinstitute gefunden.
Die Gruppe von Prof. Dr. Seifert konnte zeigen, dass sich mit Hilfe der Textverarbeitungssoftware von Sharelatex beliebige Dateien auf einem Server lesen lassen. Obwohl dies bereits ein gravierender Fehler auf einem Server mit wissenschaftlichen Publikationen ist, fanden die zudem eine Möglichkeit, durch präparierte Dateinamen Befehle direkt auf dem Server auszuführen.
Die Probleme wurden mit Hilfe von Cert.org direkt an die Entwickler von Sharelatex weitergegeben, welche diese umgehend behoben haben. Um allen betroffenen Instituten die Möglichkeit zur Fehlerbehebung zu geben, wurde entschieden, die Lücke erst heute, am 2. März 2015, zu veröffentlichen.
Zeitgleich veröffentlicht Sharelatex die Version 0.1.3 ihrer Software, die diese Probleme behebt.
Technischer Hinweis
Das Lesen von beliebigen Dateien war mit dem LaTeX-Befehl "\include{}" möglich, und wird unter CVE-2015-0933 geführt. Das Ausführen beliebigen Codes war über Dokumentennamen der form "`befehl`.tex" möglich und wird unter CVE-2015-0934 geführt.
Weitere Informationen erteilt Ihnen gern:
Prof. Dr. Jean-Pierre Seifert
TU Berlin
Fachgebiet Security in Telecommunications
Tel.: 030/8353 58 681
E-Mail: tfiebig@sec.t-labs.tu-berlin.de
Merkmale dieser Pressemitteilung:
Journalisten
Informationstechnik
überregional
Forschungs- / Wissenstransfer
Deutsch
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
