• CWE-211: Externally-Generated Error Message Containing Sensitive Information

Das Produkt führt eine Operation aus, die eine externe Diagnose oder Fehlermeldung auslöst, die nicht direkt vom Produkt generiert oder kontrolliert wird. Dies kann beispielsweise eine Fehlermeldung des Programmiersprachen-Interpreters sein, den eine Softwareanwendung verwendet. Diese Fehlermeldung kann sensible Systeminformationen enthalten und stellt somit ein potenzielles Risiko dar. Es ist wichtig, die Auswirkungen solcher externen Fehlermeldungen zu analysieren und gegebenenfalls Maßnahmen zur Minimierung der Risiken zu ergreifen, beispielsweise durch eine kontrollierte Darstellung oder das Logging der Informationen.

CWE-211: Externally-Generated Error Message Containing Sensitive Information

CWE ID: 211
Name: Externally-Generated Error Message Containing Sensitive Information

Beschreibung

Das Produkt führt eine Operation aus, die eine externe Diagnose oder Fehlermeldung auslöst, die nicht direkt vom Produkt generiert oder kontrolliert wird. Dies kann beispielsweise eine Fehlermeldung des Programmiersprachen-Interpreters sein, den eine Softwareanwendung verwendet. Diese Fehlermeldung kann sensible Systeminformationen enthalten und stellt somit ein potenzielles Risiko dar. Es ist wichtig, die Auswirkungen solcher externen Fehlermeldungen zu analysieren und gegebenenfalls Maßnahmen zur Minimierung der Risiken zu ergreifen, beispielsweise durch eine kontrollierte Darstellung oder das Logging der Informationen.

Risikominderungsmaßnahmen

Maßnahme (System Configuration)

Effektivität: Unknown
Beschreibung: Konfigurieren Sie die Anwendungsumgebung so, dass die Generierung von Fehlern vermieden wird. Beispielsweise kann in PHP die Direktive display_errors deaktiviert werden. Dies reduziert die Angriffsfläche und verhindert die ungewollte Offenlegung von sensiblen Informationen im Falle eines Fehlers.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Debugging-Informationen sollten in einer Produktionsfreigabe keinen Platz finden. Diese Informationen können sensible Details über die Anwendung offenlegen und somit ein Sicherheitsrisiko darstellen. Es ist essenziell, dass die Build-Pipeline sicherstellt, dass lediglich die optimierte und bereinigte Version der Software in die Produktion gelangt.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Debugging-Informationen sollten in einer Produktionsfreigabe keinen Platz finden. Diese Informationen können sensible Details über die Anwendung offenlegen und somit ein Sicherheitsrisiko darstellen. Es ist essenziell, dass die Build-Pipeline sicherstellt, dass lediglich die optimierte und bereinigte Version der Software in die Produktion gelangt. Ein Leak von Debugging-Informationen kann die Angriffsfläche für potenzielle Exploits erhöhen und die Sicherheit des Systems gefährden.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Exceptions sollten intern behandelt und dem Endbenutzer keine Fehlermeldungen angezeigt werden, die potenziell sensible Informationen enthalten. Falls erforderlich, sollten Standard-Fehlerseiten erstellt werden, um eine benutzerfreundliche und sichere Erfahrung zu gewährleisten. Es ist wichtig, dass die Anwendung robust ist und Fehlergracefully behandelt, ohne Details preiszugeben, die ein Sicherheitsrisiko darstellen könnten. Eine angemessene Error Handling Strategie ist ein wesentlicher Bestandteil eines sicheren Systemdesigns.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Die effektivste Methode, diese Schwachstelle während der Implementierung zu vermeiden, ist die Vermeidung von Fehlern, die das Anzeigen externer Fehlermeldungen auslösen könnten. Dies tritt typischerweise auf, wenn das Programm auf fatale Fehler stößt, wie beispielsweise eine Division durch Null. Es ist nicht immer möglich, die Verwendung von Error Pages zu kontrollieren, und es kann sein, dass Sie eine Programmiersprache verwenden, die keine Exception Handling Mechanismen bietet. Daher ist eine sorgfältige Code-Qualität und robuste Testing-Prozesse unerlässlich.