• CWE-494: Download of Code Without Integrity Check

“Das Produkt lädt Quellcode oder eine ausführbare Datei von einem Remote-Standort herunter und führt den Code aus, ohne die Herkunft und Integrität des Codes ausreichend zu verifizieren.”

CWE-494: Download of Code Without Integrity Check

CWE ID: 494
Name: Download of Code Without Integrity Check

Beschreibung

“Das Produkt lädt Quellcode oder eine ausführbare Datei von einem Remote-Standort herunter und führt den Code aus, ohne die Herkunft und Integrität des Codes ausreichend zu verifizieren.”

Erweiterte Beschreibung

“Ein Angreifer kann schädlichen Code ausführen, indem er den Host-Server kompromittiert, DNS Spoofing durchführt oder den Code während der Transmission modifiziert.”

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: “Führen Sie korrekte Forward- und Reverse-DNS-Lookups durch, um DNS Spoofing zu erkennen.” Notizen: “Dies ist lediglich eine partielle Lösung, da sie Ihre Codebasis nicht davor schützt, auf dem Hosting-Server modifiziert zu werden oder während der Transmission.”

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: “Führen Sie Ihren Code mit den minimal erforderlichen Berechtigungen aus [REF-76]. Wenn möglich, erstellen Sie isolierte Accounts mit eingeschränkten Privilegien, die ausschließlich für eine einzelne Task verwendet werden. Auf diese Weise gewährt ein erfolgreicher Angriff dem Angreifer nicht unmittelbar Zugriff auf den Rest der Software oder deren Environment. Beispielsweise benötigen Datenbankanwendungen selten die Ausführung als Datenbankadministrator, insbesondere im Rahmen des täglichen Betriebs.”