Ein kürzlich veröffentlichter Sicherheitshinweis des CERT-Bund warnt vor einer kritischen Schwachstelle in der Open‑Source‑Build‑Automation Apache Ivy, die es einem entfernten, authentifizierten Angreifer erlaubt, Dateien auf betroffenen Systemen zu manipulieren.
Hintergrund der Schwachstelle
Die betroffene Komponente ist ein Modul zur Auflösung von Artefakten, das in vielen Java‑basierten Projekten eingesetzt wird. Durch unzureichende Validierung von Pfadangaben kann ein Angreifer über eine präparierte Anfrage Pfade außerhalb des vorgesehenen Verzeichnisses erreichen.
Betroffene Versionen
Laut dem Advisory betrifft die Lücke alle Versionen von Apache Ivy, die vor dem Release vom 15. Juni 2026 veröffentlicht wurden. Die Identifikationsnummer des Hinweises lautet WID‑SEC‑2026‑2373.
Mögliche Auswirkungen
Ein erfolgreicher Angriff kann dazu führen, dass Schadcode in Konfigurationsdateien oder ausführbare JAR‑Dateien eingeschleust wird, was die Integrität von Build‑Prozessen gefährdet und potenziell weitere Systeme kompromittieren kann.
Empfohlene GegenmaĂźnahmen
Der CERT‑Bund empfiehlt Administratoren, sofort auf die aktuelle Version von Apache Ivy zu aktualisieren, die am 20. Juni 2026 veröffentlicht wurde. Zusätzlich sollten Zugriffsrechte auf das Verzeichnis, in dem Artefakte abgelegt werden, restriktiver konfiguriert und Netzwerk‑Firewalls so eingestellt werden, dass nur vertrauenswürdige Quellen Zugriff erhalten.
Reaktion der Entwicklergemeinschaft
Die Apache‑Projektleitung hat in einer Stellungnahme bestätigt, dass ein Patch bereits im offiziellen Repository bereitsteht und die Community dazu aufruft, betroffene Installationen zeitnah zu aktualisieren.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Uebertragung