Lücke im Internetauftritt der Bundesregierung [2. Update]

04.09.2006 09:46 Uhr Dirk Knop

Der Internet-Auftritt der Bundesregierung enthält eine Cross-Site-Scripting-Schwachstelle. Angreifer können dadurch beliebige Meldungen fälschen oder Skriptcode im Browser von Benutzern ausführen.

Bislang bekamen die Wähler von der Bundesregierung mehr [1], als sie eigentlich wollten. Ein entgegengesetztes Phänomen findet sich auf der Webseite der Bundesregierung [2], wodurch diese andere Meldungen bekommt, als gewünscht: Der Internetauftritt ist von einer Cross-Site-Scripting-Schwachstelle betroffen. Angreifer können dadurch beliebige Meldungen in der Seitenoptik unter der Domäne der Bundesregierung erstellen, Browser-Cookies klauen oder Skriptcode im Browser von Anwendern ausführen.

Cross-Site-Skripting-Lücke im Webauftritt der Bundesregierung — Der Webauftritt der Bundesregierung ermöglicht Scherzbolden, beliebige Meldungen im Design der Seite zu fälschen.

Der Fehler findet sich in der Suchfunktion des Internetauftritts, die HTML- und Skriptcode in Anfragen nicht ausfiltert. Auf Anfrage von heise Security war beim Bundespresseamt (BPA [3]) zu erfahren, dass dort eine Cross-Site-Scripting-Schwachstelle im Internetauftritt zwar bekannt war, man allerdings davon ausginge, dass die Sicherheitslücke zwischenzeitlich geschlossen wurde. Offenbar haben die Techniker jedoch nur eines von mehreren Löchern gestopft.

Wann die Cross-Site-Scripting-Lücke endgültig geschlossen wird, ist noch unklar. Laut BPA werde man jedoch schnellstmöglich Gegenmaßnahmen einleiten und die verantwortlichen Personen in Kenntnis setzen. Bis es so weit ist, sind vermeintlich aufsehenerregende Meldungen auf der Webseite der Bundesregierung, auf die man durch lange Links mit ungewöhnlichen Zeichen hingewiesen wird, mit Vorsicht zu genießen – es könnte sich dabei um eine Ente handeln.

[Update]:
Laut dem für den Internetauftritt der Bundesregierung zuständigen Internet-Dienstleister haben die Techniker die Cross-Site-Scripting-Lücken jetzt geschlossen.

[2. Update]:
Die Rücktrittslücke schlägt weitere Wellen: Mittlerweile demonstriert Constantin Hofstetter [4] in seinem Blog, dass die offizielle Site des Deutschen Bundestags Bundestag.de [5] ebenfalls für Cross Site Scripting anfällig ist. Über eine speziell zusammengesetzte URL landet man auf einer Webseite, die die Rücktrittsgerüchte um Angela Merkel scheinbar bestätigt. Der Trick: Über eine spezielle Variable lässt sich ein Stichwort für eine Fehlermeldung übergeben, die ungefiltert ausgegeben wird; die URL belegt sie einfach mit HTML-Code für die angezeigte Meldung. (dmk [6])

URL dieses Artikels:
https://www.heise.de/-158525

Links in diesem Artikel:
[1] http://www.spiegel.de/politik/deutschland/0%2C1518%2C434148%2C00.html
[2] http://www.bundesregierung.de/
[3] http://www.bundesregierung.de/Webs/Breg/DE/Bundesregierung/Bundespresseamt/bundespresseamt.html
[4] http://consti.de/2006/09/04/bundeskanzlerin-merkel-tritt-zuruck/
[5] http://bundestag.de/
[6] mailto:dmk@heise.de