Seite 3: Vertrauliche URLs

Inhaltsverzeichnis

Neben den IP-Adressen zeigt die Request-Liste der Statusseite auch die genutzten URLs an. Es ist keine gute Praxis, aber oft enthalten URLs sensible Informationen, welche die Server-Status-Seite dann publiziert.

Größeren Problemen gerade noch entgangen ist die Sparda-Bank München. Deren System publizierte URLs mit Teilen von IBANs. Dabei handelte es sich allerdings nur um die vordere Hälfte der Nummern, womit sich Land und Bank identifizieren lassen, aber keine Konten.

Schlechter sah es bei der IT-Security-Firma G Data aus. Der betroffene Server wurde zum Dateiaustausch im Unternehmen genutzt und publizierte über die URLs unter anderem Benutzernamen von Firmenmitarbeitern. Die entsprachen oft den Klarnamen der Mitarbeiter nach dem Schema "Vorname.Nachname" und erlaubten so zumindest Rückschlüsse auf Unternehmenszugehörigkeiten. Außerdem fanden sich in den URLs Datei-Hashes. Darüber war es sogar möglich, die jeweiligen Dateien unbefugt herunterzuladen. G Data betont allerdings, dass diese Dateien keine personenbezogenen Daten enthielten. Personenbezogene Daten würden grundsätzlich nur in Dateien mit einem Passwortschutz geteilt.

Problematisch war auch ein System des Fritzbox-Herstellers AVM. Es exponierte den Server-Status eines Jitsi-Servers für Videokonferenzen zwischen Mitarbeitern. Die Namen der virtuellen Konferenzräume waren dadurch frei zugänglich und jedermann konnte an Konferenzen teilnehmen, die nicht individuell passwortgeschützt waren. Gerade in größeren Konferenzen kann es leicht passieren, dass solche unerbetenen Gäste nicht weiter auffallen und dem internen Meeting ungestört beiwohnen können.

Serverkonfiguration prüfen

AVM, G Data und das BSI zeigen, dass niemand gegen Unachtsamkeit gefeit ist. Zehntausende weitere Systeme sind noch betroffen und die Experten der Gesellschaft für Cybersicherheit wollen bald mit einer aktualisierten Liste an die Öffentlichkeit gehen. Zeit also, sich die Konfigurationen der eigenen Server sorgfältig anzusehen und nicht nur schnell die Pfade /server-info und /server-status zu testen. Es lassen sich auch andere Pfade nutzen und es gibt ähnliche Probleme mit anderen Statusseiten: Der Hoster von CERT-Bund schaffte es offenbar, den öffentlichen Zugang zu /server-info abzudrehen und dabei zu übersehen, dass auf die gleiche Weise auch Statusinformationen eines Perl-Interpreters unter /perl-status publiziert wurden. Nach einem weiteren Hinweis von c’t wurde auch dieses Verhalten korrigiert.

Relevante Apache-Dokumentation

Apache Module mod_info
Allgemeine Dokumentation zum Modul mod_info.

Apache Module mod_status
Allgemeine Dokumentation zum Modul mod_status.

Apache Module mod_authz_core / Require Directive
Erklärungen zur Require-Direktive und wie sich mehrere davon überlagern können.

Configuration Sections / How the sections are merged
Beschreibung wie sich Konfigurationssektionen in Apaches Konfiguration überlagern.

Apache Module mod_authz_core / AuthMerging Directive
Über die AuthMerging-Direktive lässt sich definieren, wie Authorisierungseinstellungen verschiedener Konfigurationssektionen miteinander kombiniert werden.

Apache Module mod_remoteip
Das Module Remote IP ist nützlich, wenn sich Apache-Server hinter Load-Balancern, Caches oder Reverse-Proxys befinden, und dennoch auf die IP-Adresse des Besuchers reagieren sollen.

(syt)