Menü
Security

Sicherheitslücke beim Justizministerium Baden-Württemberg

Von
vorlesen Drucken Kommentare lesen 53 Beiträge

Auf den Servern war die Datenbank-Konfiguration im Klartext auslesbar.

Durch eine Sicherheitslücke waren Datenbankpasswörter und andere Konfigurationseinstellungen auf dem Portal des Justizministeriums Baden-Württemberg öffentlich einsehbar. Dies hätte für Angriffe auf die Server oder falsche Eingaben in die Urteilsdatenbank genutzt werden können. Auf einen entsprechenden Hinweis von heise Security hin wurden die Sicherheitslücken nun geschlossen.

Durch falsch gesetzte Berechtigungen auf den Servern hatten Besucher von außen Einsicht in den Quelltext der Anwendungen und konnten auf Datenbankpasswörter im Klartext zugreifen. Der sichtbare Quelltext enthielt auch Code, der bei Eingaben in Suchformularen der Urteilsdatenbank SQL-Injection-Angriffe verhindern sollte. Mit den durch die Lücke einsehbaren Informationen hätten Angreifer die Arbeitsweise der Web-Applikation analysieren und falsche Einträge in die Urteilsdatenbank schmuggeln oder weitergehende Angriffe ausführen können. Betroffen waren unter anderem die Urteilsdatenbanken des Bundesgerichtshofes, des Bundessozialgerichtes, des Bundesfinanzhofes und der Landgerichte der Länder Baden-Württemberg, Schleswig-Holstein, Hamburg und des Saarlands.

Ein Leser von heise Security hatte den Quelltext eines Skriptes durch Zufall entdeckt und war bei Nachforschungen auf weiteren Quelltext und die Konfigurationsdateien gestoßen. Daraufhin informierte er das Justizministerium Baden-Württemberg und später auch das BSI, erhielt nach eigenen Angaben aber keine Antwort.

Das Justizministerium Baden-Württemberg teilte auf Anfrage von heise Security mit, dass für die Server, auf denen die Sicherheitslücke gefunden wurde, alleine der IT-Dienstleister Juris GmbH zuständig sei. Man habe die Firma gebeten, die Sicherheitslücke zu schließen und alle Datenbankeinträge auf Korrektheit zu überprüfen. Dies sei nun geschehen. Nach momentanem Kenntnisstand waren vertrauliche Daten von der Sicherheitslücke nicht betroffen. (fab)