TU Berlin

Stabsstelle Kommunikation, Events und AlumniMedieninformation Nr. 46/2015

Inhalt des Dokuments

zur Navigation

Forscher der TU Berlin entdecken Sicherheitslücken in Kollaborationsplattform Sharelatex

Montag, 02. März 2015

Medieninformation Nr. 46/2015

Bereits Anfang Januar 2015 haben Wissenschaftler der Forschungsgruppe Security in Telecommunications von Prof. Dr. Jean-Pierre Seifert am Institut für Softwaretechnik und Theoretische Informatik der TU Berlin zwei schwerwiegende Sicherheitslücken in einer Software für das kollaborative Erstellen wissenschaftlicher Dokumente gefunden.

Die betroffene Software, Sharelatex[0], dient dazu, mit mehreren Wissenschaftlerinnen und Wissenschaftlern gleichzeitig an einer Publikation zu arbeiten. Sie wird unter anderem von zahlreichen amerikanischen Universitäten und der NASA eingesetzt. In ihrer Open-Source-Variante hat sie inzwischen den Weg in viele weitere national und international bekannte Forschungsinstitute gefunden.

Die Gruppe von Prof. Dr. Seifert konnte zeigen, dass sich mit Hilfe der Textverarbeitungssoftware von Sharelatex beliebige Dateien auf einem Server lesen lassen. Obwohl dies bereits ein gravierender Fehler auf einem Server mit wissenschaftlichen Publikationen ist, fanden die zudem eine Möglichkeit, durch präparierte Dateinamen Befehle direkt auf dem Server auszuführen.

Die Probleme wurden mit Hilfe von Cert.org direkt an die Entwickler von Sharelatex weitergegeben, welche diese umgehend behoben haben. Um allen betroffenen Instituten die Möglichkeit zur Fehlerbehebung zu geben, wurde entschieden, die Lücke erst heute, am 2. März 2015, zu veröffentlichen.
Zeitgleich veröffentlicht Sharelatex die Version 0.1.3 ihrer Software, die diese Probleme behebt.

Technischer Hinweis
Das Lesen von beliebigen Dateien war mit dem LaTeX-Befehl "\include{}" möglich, und wird unter CVE-2015-0933 geführt. Das Ausführen beliebigen Codes war über Dokumentennamen der form "`befehl`.tex" möglich und wird unter CVE-2015-0934 geführt.

bk

Weitere Informationen erteilt Ihnen gern:

Prof. Dr. Jean-Pierre Seifert
TU Berlin
Fachgebiet Security in Telecommunications
Tel.: 030/8353 58 681

Navigation

Direktzugang

Schnellnavigation zur Seite über Nummerneingabe