Sicherheitsprobleme in AEM Dispatcher-Regeln
Die Standardregeln, die mit dem Adobe Experience Manager (AEM) Dispatcher ausgeliefert werden, sollten immer geändert werden, bevor die Konfigurationen in die Produktion verschoben werden. Standardmäßig gibt es mehrere Lücken, die Sicherheitsbedenken verursachen können. Die meisten AEM-Architekten sind sich bewusst, dass die erste Regel jeder guten Dispatcher-Konfiguration die Regel "Alle verweigern" ist. Das ist bei jedem Produktionssystem so, immer alles zu blockieren und dann nur benötigte Pfade öffnen zu lassen.
Aber selbst bei einer "Alle verweigern"-Regel gibt es viele Regeln, die Probleme verursachen und unerwarteten Zugriff auf sensible Bereiche von AEM ermöglichen können. Einige der Adobe Dispatcher-Beispiele enthalten beispielsweise Probleme, die den Zugriff mit geschickt gestalteten URLs ermöglichen. Das Hinzufügen von ;.css zu einer Anfrage umgeht beispielsweise die meisten Regeln und ermöglicht es Benutzern, sensible Bereiche zu erreichen, die als gesichert gelten (z. B. den CRX-Administrator!).
Überprüfen Sie diese URL auf Ihrer Website, um zu sehen, ob Sie den CRX-Admin-Bildschirm sehen können: http:///crx/explorer/index.jsp;.css. Wenn Sie diese Seite sehen können, igitt! Sie haben eine Sicherheitslücke!
So beheben Sie das Problem!
Wie beheben wir also dieses Problem, bei dem Sie durch das Hinzufügen von ;.css Zugriff auf vertrauliche Speicherorte erhalten? Überprüfen Sie Ihre dispatcher.any-Filterregeln. Gibt es solche Regeln?
# Enable specific mime types in non-public content directories
/0041 { /type "allow" /url "*.css" } # enable css
/0042 { /type "allow" /url "*.gif" } # enable gifs
/0043 { /type "allow" /url "*.ico" } # enable icos
/0044 { /type "allow" /url "*.js" } # enable javascript
/0045 { /type "allow" /url "*.png" } # enable png
/0046 { /type "allow" /url "*.swf" } # enable flash
/0047 { /type "allow" /url "*.jpg" } # enable jpg
/0048 { /type "allow" /url "*.jpeg" } # enable jpeg
/0049 { /type "allow" /url "*.svg" } # enable svg
Diese wurden in vielen dispatcher.any-Beispielen bereitgestellt, um Ihre Bilder und Includes zu aktivieren. Diese Regeln sind es aber auch, die eine dieser Sicherheitslücken schließen!
In der neuesten dispatcher.any-Datei, die mit Version 4.3.3 ausgeliefert wird, hat Adobe diese Regeln so geändert, dass sie wie folgt aussehen:
# Enable extensions in non-public content directories, using a regular expression
/0041
{
/type "allow"
/extension '(clientlibs|css|gif|ico|js|png|swf|jpe?g|woff2?)'
}
Wir testen noch, ob dieses Update die bekannten Probleme behebt und werden diesen Blog mit unseren Ergebnissen aktualisieren. In der Zwischenzeit wurden diese Regeln entwickelt, um einige der ungeheuerlichsten Probleme zu blockieren (Huttipp: Dwayne Hale von Rackspace!):
#vuln 1
/9990 { /type "deny" /url "*.infinity.*" }
#vuln2
/9991 { /type "deny" /url "/crx*" }
/9992 { /type "deny" /url "/system*" }
#vuln3 block querybuilder
/9993 { /type "deny" /url "/bin/querybuilder*" }
#vuln4
/9994 { /type "deny" /url "*/.*"}
Hoffentlich helfen Ihnen diese Regeln dabei, Ihre Unternehmenswebsites zu schützen, wenn Sie AEM Dispatcher verwenden.
Wenn Sie Hilfe bei der Behebung von AEM Dispatcher-Schwachstellen benötigen, wenden Sie sich bitte noch heute an die AEM-Experten von Arbory Digital unter 1-877-AEM-4502 !
Drew Oliver Cummings
AEM Developer bei Arbory Digital
Autor und Softwareentwickler mit Erfahrung in technischer Redaktion, Python-Entwicklung und AEM.
Gefällt Ihnen, was Sie gehört haben? Haben Sie Fragen dazu, was für Sie das Richtige ist? Wir würden uns freuen, mit Ihnen zu sprechen! Kontaktieren Sie uns