News

Angewandte IT Security - Schwachstelle in JupyterHub entdeckt

Logo Jupyterhub
Logo Jupyterhub

[26|11|2021]

Seit einem Semester verwendet die Hochschule München in der Fakultät für Informatik und Mathematik verstärkt die Software JupyterHub.

JupyterHub ist ein von der University of California Berkeley entwickeltes Programm, um eine Multi-User-Umgebung von JupyterLab Instanzen zu betreiben. Es wird weltweit bei einer Vielzahl von Universitäten und Firmen eingesetzt.

 

Während des Aufbaus und der Evaluierung einer JupyterHub Instanz für die Fakultät 07, hat der IT-Sicherheits-Masterstudent Florian Ritterhoff eine Schwachstelle in der eingesetzten Software entdeckt. Im Detail wurde die Abmeldung nicht richtig verarbeitet, sobald JupyterLab in Kombination mit JupyterHub in mehreren Tabs des gleichen Browsers geöffnet war. So war nach Abmeldung in einem Tab nach wie vor die Verwendung der anderen Tabs möglich. Diese Sitzungen waren auch nach Neustart des Browsers weiterhin verwendbar. Das festgestellte Fehlverhalten wurde den zuständigen Entwicklern gemeldet und durch diese korrigiert.

Hieraus ging ein entsprechendes Security Advisory (https://github.com/jupyterhub/jupyterhub/security/advisories/GHSA-cw7p-q79f-m2v7 ), das dazugehörige CVE-2021-41247 und eine neue JuypterHub Version 1.5.0 hervor, die dieses Fehlverhalten korrigiert. Das genannte Security Advisory beschreibt den Sachverhalt und weist auf die betroffenen Versionen hin.

 

Herr Ritterhoff studiert nicht nur im Masterprogramm IT-Sicherheit, sondern ist zudem Mitarbeiter der Forschungsgruppe seclab. Dort beschäftigt er sich intensiv mit dem Aufbau von resilienten IT-Sicherheitsinfrastrukturen. In der Forschungsgruppe von Herr Prof. Dr.-Ing. Thomas Schreck, werden neben resilienten Systemen, Themen im Bereich der Cyber Defense und modernen Identitätsverfahren geforscht.