idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Bereits Anfang Januar 2015 haben Wissenschaftler der Forschungsgruppe Security in Telecommunications von Prof. Dr. Jean-Pierre Seifert am Institut für Softwaretechnik und Theoretische Informatik der TU Berlin zwei schwerwiegende Sicherheitslücken in einer Software für das kollaborative Erstellen wissenschaftlicher Dokumente gefunden.
Die betroffene Software, Sharelatex[0], dient dazu, mit mehreren Wissenschaftlerinnen und Wissenschaftlern gleichzeitig an einer Publikation zu arbeiten. Sie wird unter anderem von zahlreichen amerikanischen Universitäten und der NASA eingesetzt. In ihrer Open-Source-Variante hat sie inzwischen den Weg in viele weitere national und international bekannte Forschungsinstitute gefunden.
Die Gruppe von Prof. Dr. Seifert konnte zeigen, dass sich mit Hilfe der Textverarbeitungssoftware von Sharelatex beliebige Dateien auf einem Server lesen lassen. Obwohl dies bereits ein gravierender Fehler auf einem Server mit wissenschaftlichen Publikationen ist, fanden die zudem eine Möglichkeit, durch präparierte Dateinamen Befehle direkt auf dem Server auszuführen.
Die Probleme wurden mit Hilfe von Cert.org direkt an die Entwickler von Sharelatex weitergegeben, welche diese umgehend behoben haben. Um allen betroffenen Instituten die Möglichkeit zur Fehlerbehebung zu geben, wurde entschieden, die Lücke erst heute, am 2. März 2015, zu veröffentlichen.
Zeitgleich veröffentlicht Sharelatex die Version 0.1.3 ihrer Software, die diese Probleme behebt.
Technischer Hinweis
Das Lesen von beliebigen Dateien war mit dem LaTeX-Befehl "\include{}" möglich, und wird unter CVE-2015-0933 geführt. Das Ausführen beliebigen Codes war über Dokumentennamen der form "`befehl`.tex" möglich und wird unter CVE-2015-0934 geführt.
Weitere Informationen erteilt Ihnen gern:
Prof. Dr. Jean-Pierre Seifert
TU Berlin
Fachgebiet Security in Telecommunications
Tel.: 030/8353 58 681
E-Mail: tfiebig@sec.t-labs.tu-berlin.de
Criteria of this press release:
Journalists
Information technology
transregional, national
Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
