Sicherheitsprobleme bei Web-Hoster Verio Deutschland
In den Shared-Hosting-Umgebungen des Dienstleisters Verio Deutschland GmbH klafft ein Loch, mit dem Zugriffe auf die Daten anderer Kunden möglich sind.
In den Shared-Hosting-Umgebungen des Dienstleisters Verio Deutschland GmbH klafft ein Loch, mit dem Zugriffe auf die Daten anderer Kunden möglich sind. Bei Shared Hosting teilt man sich mit mehreren Kunden, unter Umständen mit Hunderten, einen Server. Jede Internet-Präsenz erhält ein eigenes Konto, die Verzeichnisse zur Ablage von Daten sind aber voneinander getrennt. Durch eine entsprechende Vergabe von Dateirechten schützt man Serverbereiche vor den Zugriffen anderer Kunden. Allerdings unterstützen viele Provider den Einsatz von Skriptsprachen auf ihren Servern, mit denen man solche Restriktionen umgehen kann. Ein einfaches Skript, mit den Rechten des Webservers ausgeführt, ermöglicht das Lesen und Schreiben in anderen Bereich, meist auch in Systemverzeichnissen. So auch bei Verio: Mit einem PHP-Skript auf deren Apache-Webservern kann man direkt auf das Dateisystem zugreifen. Datenbanken, Passwörter und andere Skripte lassen sich lesen und manipulieren.
Derartige Probleme in Shared-Hosting-Umgebungen sind seit längerem bekannt, nicht zuletzt durch den Artikel Webhoster-Sicherheitslücken durch Skriptsprachen in c't 14/2003, in dem diverse Anbieter auf diese Schwachstelle hin untersucht wurden. Umso peinlicher, dass Verio, nach eigenen Angaben eines der größten weltweit agierenden Hosting-Unternehmen, an dieser Stelle verwundbar ist. Wirbt doch gerade Moos Bulder, Präsident von Verio Europe mit der hohen Datensicherheit: "Wer einem Webhoster seine Unternehmensdaten anvertraut, muss sich darauf verlassen können, dass diese vor unlauteren Zugriffen geschützt sind."
Verio Deutschland wurde bereits vor sechs Wochen von einem Kunden über das Problem informiert, seitdem hat sich nicht viel getan. Zwischenzeitlich schlug man vor, zum Selbstschutz die Rechte auf sein Homedirectory restriktiver zu setzen (rwx------), damit nur Prozesse mit der eigenen UID darauf zugreifen können. Auf Nachfrage von heise Security bestätigte Patricia Herrmann, Account Managerin bei Verio, die lange Reaktionszeit. Man nehme das Problem aber sehr ernst, arbeite an einer Lösung und hoffe diese bald implementieren zu können.
Abhilfe könnte der Safe Mode von PHP bringen, dieser überprüft bei Dateioperationen, ob der Besitzer des jeweiligen Skriptes auch dem der zu bearbeitenden Datei entspricht. Offenbar arbeitet Verio aber an einer anderen Lösung. Anders lässt sich kaum erklären, warum man bisher das Problem nicht beseitigen konnte. (dab)
