Was bedeutet „Vulnerable and Outdated Components“?
Fast jede moderne Anwendung nutzt Bibliotheken, Frameworks und externe Komponenten.
Wenn diese Teile veraltet sind oder bekannte Sicherheitslücken enthalten, wird die gesamte Anwendung angreifbar – auch wenn der eigene Code fehlerfrei ist.
Beispiel:
Eine Web-App läuft mit einer alten Version von jQuery, die für XSS-Angriffe anfällig ist. Schon allein dadurch können Angreifer einsteigen.
Typische Beispiele aus der Praxis
- Veraltete Open-Source-Bibliotheken
– z. B. eine Java-Anwendung mit einer alten Spring-Version (wie beim bekannten Spring4Shell-Exploit). - Nicht gepatchte Server-Software
– Apache, Nginx oder Tomcat laufen in Versionen mit bekannten Schwachstellen. - Ungeprüfte Third-Party-Plugins
– Ein CMS (z. B. WordPress) nutzt ein unsicheres Plugin. - Fehlendes Inventar
– Niemand weiß genau, welche Komponenten oder Abhängigkeiten im Einsatz sind.
Warum ist das so gefährlich?
- Angreifer müssen keine neuen Schwachstellen finden – sie nutzen einfach bekannte Lücken.
- Exploits sind oft öffentlich verfügbar und leicht einsetzbar.
- Schon eine unsichere Komponente kann den ganzen Server kompromittieren.
Wie schützt man sich?
- Komponenten-Inventar führen
– Alle eingesetzten Bibliotheken, Frameworks und Versionen dokumentieren. - Regelmäßige Updates einplanen
– Patches zeitnah einspielen, am besten automatisiert. - Sicherheits-Scans nutzen
– Tools wie OWASP Dependency-Check, Snyk oder GitHub Dependabot erkennen unsichere Abhängigkeiten. - Unnötige Abhängigkeiten entfernen
– Weniger Code = kleinere Angriffsfläche. - Trusted Sources verwenden
– Komponenten nur aus vertrauenswürdigen Repositories beziehen.
Schreibe einen Kommentar