Font Size

Cpanel

Angriff über unsichere HTTP-Downloads in Java-Projekten möglich

Jonathan Leitschuh berichtet in einem Blog-Beitrag, dass in Hunderten von Java-Projekten, wie beispielsweise Jenkins, über HTTP-URLs Abhängigkeiten heruntergeladen werden, ohne dass diese einer Sicherheitsprüfung unterzogen werden. Es ist in Java-Build-Systemen möglich, die Pakete über sichere HTTPS-URLs herunterzuladen. Die URLs sind aber in vielen Projekten nicht in HTTPS-URLs umgewandelt. Dadurch können Hacker mit einem Man-in-the-Middle-Angriff Malware in die Downloads einfließen lassen.