Automic Workload Automation

Expand all | Collapse all

AWI - Versionsnummern von Bibliotheken und Plugins auslesbar

  • 1.  AWI - Versionsnummern von Bibliotheken und Plugins auslesbar

    Posted 08-09-2018 07:51 AM

    Sie fragen:

     

    Die verwendeten Technologien und Versionsnummern können an diversen Stellen ausgelesen werden. Ein Angreifer kann dadurch gezielt nach Schwachstellen für die vorliegen Versionen suchen, wodurch gezielt weiterführende Angriffe gestartet werden können.

     

    z.B.:

    - Der About Bereich enthält Informationen zu Versionsnummern zu installierten Plugins


    - Ebenso können die Versionsnummern der verwendeten öffentlichen Bibliotheken ermittelt werden:
    jquery /VAADIN/widgetsets/UC4WebUIWidgetset/jquery-1.7.1.min.js
    match-highlighter /APP/PUBLISHED/addon/search/match-highlighter.js
    search.js /APP/PUBLISHED/addon/search/search.js

     

     

    #caautomicworkloadautomation

    #automicwebinterface



  • 2.  Re: AWI - Versionsnummern von Bibliotheken und Plugins auslesbar

    Posted 08-09-2018 07:53 AM

    Wir antworten:

     

    Der About-Dialog ist nur für angemeldete Nutzer zugänglich, was die Angriffsfläche einschränkt.
    Aus Lizenzgründen müssen die Versionsnummern angeführt werden, daher können wir sie nicht ausblenden.

    Die Version von öffentlichen Bibliotheken (z.B. jQuery) kann über den Sourcecode direkt ermittelt werden.

    Eine Verschleierung in der URL ist daher nicht zielführend.

     

    Der Stacktrace bei Fehlermeldungen kann über die configuration.properties des AWI (Tomcat) deaktiviert werden.
    Der Parameter der hier eingefügt werden muss lautet:
    stacktraces.visible = false

     

     

    Mit freundlichen Grüßen

    Christian Glaser

    CA Customer Success Support Engineer