Trügerische Sicherheit bei deutschsprachigen Servern

Sicherheitsexperten der französischen Firma Exaprobe weisen darauf hin, dass viele Security-Scanner Sicherheitslücken nicht entdecken, wenn die getesteten Dienste in einer nicht-englischen Version laufen. Das Gefährliche daran: Während die Administratoren sich in Sicherheit wiegen, weil beim letzten Security-Scan alles im grünen Bereich war, funktionieren manche Exploits auch mit den sprachlich angepassten Versionen der Software. Die Autoren des Advisories zeigen dies anhand der Verwundbarkeit mancher SQL-Server-Installationen, die für den Administrator-Zugang "sa" ein leeres Passwort akzeptieren. Fünf der sechs getesteten Security-Scanner ließen sich von der fremden Sprache in die Irre führen und meldeten kein Sicherheitsproblem. Der Wurm SQLSpida (alias SQLSnake) hingegen konnte das Loch auch in diesen Versionen ausnutzen.

Diese Sicherheitslücke im SQL-Server ist jedoch eher untypisch. Die meisten Sicherheitslöcher in Server-Diensten beruhen auf Buffer-Overflows. Da es bei deren Ausnutzung darauf ankommt, bestimmte Adressen im Speicher recht exakt zu treffen, sind angepasste Programmversionen gegen die Standard-Exploits häufig immun -- das heißt, der Server-Prozess stürzt zwar ab, aber der Exploit-Code kommt nicht zur Ausführung. Trotzdem weist Exaprobe natürlich zu Recht darauf hin, dass es notwendig sei, die Security-Scanner auf länderspezifische Eigenheiten anzupassen, damit sich auch Anwender nicht-englischsprachiger Software auf die Ergebnisse solcher Tests -- die häufig sogar für viel Geld gekauft werden -- verlassen können. (ju)