© Khakimullin Aleksandr/Shutterstock.com
Checkmarx dokumentiert kritische Schwachstellen in Apache Unomi

Kundendaten in Gefahr


Die Open-Source-Lösung Apache Unomi gilt unter vielen Webexperten als hervorragende Kundendatenplattform: Die Lösung ist hochskalierbar, bietet ein breites Featureset und punktet gerade in der EU mit ihrem vorbildlichen Privacy Management. Mit Blick auf die Popularität der Plattform nahm das Checkmarx Security Research Team jüngst den Code von Unomi unter die Lupe – und identifizierte gleich zwei kritische Sicherheitslücken. Dr. Jürgen Eitle, Solution Expert bei Checkmarx, erklärt, um welche Schwachstellen es sich handelte und wie sie im Zusammenspiel mit Apache behoben wurden.

Apache Unomi (Kasten: „Apache Unomi“) boomt: Seit die Kundendatenplattform (englisch: Customer Data Platform oder kurz CDP) von der Apache Software Foundation 2019 in den Rang eines Top-Level-Projekts gehoben wurde, verzeichnet die Lösung über alle Branchen hinweg stabile Zuwachsraten. Denn auch wenn die Lösung im Prinzip das Gleiche tut wie viele andere CDP-Tools – vereinfacht gesprochen: auf Webseiten anhand von Eingaben, Cookies und URLs unterschiedlichste Daten von Kunden und Besuchern erfassen –, setzt sich Unomi in einem Bereich von vielen vergleichbaren Tools ab: Die Open-Source-Plattform hat es sich auf die Fahne geschrieben, die sensiblen Daten der Benutzer nachdrücklich zu schützen. Wenn der Betreiber alle Häkchen richtig setzt, ist die Lösung durchgehend DSGVO-konform, lässt dem Benutzer stets die Kontrolle über seine Daten und bietet auch die Option, den eigenen Datenbestand jederzeit zu löschen.

Apache Unomi

Apache Unomi ist eine Open-Source-basierte Kundendatenplattform und seit 2019 eins der Top-Level-Projekte von Apache. Im Prinzip handelt es sich bei Unomi um einen REST-Server, der die Profile der Benutzer und die damit verbundenen Events verwaltet und speichert – und der sich über flexible Schnittstellen mit unterschiedlichsten CMS-, CRM-, Issue-Tracking- oder Mobile-Anwendungen integrieren lässt.

Als Nutzer- und Kundendatenbank mit leistungsfähigem Privacy Management, User-/Event- und Goal-Tracking, Reporting- und Profile-Management ist Unomi universell einsetzbar. Typische Use Cases sind etwa die Bereitstellung personalisierter Web Services, die Auswertung von Mobile Apps, zentralisiertes Profilmanagement und der Aufbau eines durchgängigen Consent-Management-Hubs. Das Apache Unomi Privacy REST API ermöglicht es Entwicklern außerdem, userorientierte UIs zu designen, bei denen die Nutzer selbst steuern können, welche Daten getrackt werden dürfen und welche zu löschen sind – mit Blick auf die DSGVO ein wichtiges Plus.

Apache Unomi wurde im Rahmen der Open Service Gateway Initiative (OSGi) – einem Java Framework für die Entwicklung und Bereitstellung modularer Softwareprogramme und Bibliotheken – entwickelt und läuft hochskalierbar unter Apache Karaf.

Mit Blick auf ihre weite Verbreitung sind Unomi-Server allerdings auch ein überaus attraktives Ziel für Angreifer: In den Datenbanken befinden sich typischerweise viele sensible Daten, und mit ihren zahlreichen APIs zu internen und externen Applikationen liefern die Systeme auch einen hochinteressanten Startpunkt für weiterführende Attacken. Angesichts dieses Risikopotenzials entschied sich das Checkmarx Security Research Team 2020, die Sicherheit von Unomi kritisch zu überprüfen. Mehr zu den Ergebnissen im Folgenden.

Der Blick zurück: RCE-Schwachstellen in Unomi

Au...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Gewinner-Teams

Wir bieten Lizenz-Lösungen für Teams jeder Größe: Finden Sie heraus, welche Lösung am besten zu Ihnen passt.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang