Adobes Webserver sperrangelweit offen

Ein CGI-Skript auf Adobes Webserver weist einen kritischen Fehler auf, mit dem der Zugriff auf beliebige Dateien des Systems möglich ist. Dazu genügt es, eine präparierte URL in einem Browser aufzurufen, um den Inhalt der Dateien angezeigt zu bekommen. Neben Konfigurationsdaten ist es so auch möglich, Log-Dateien, SSL-Schlüssel und Passwort-Dateien einzusehen. Zu welchem Schlüsselpaar der abrufbare private SSL-Key gehört, wird noch untersucht, derzeit scheint er aber zu keinem bekannten SSL-Zertifikat von Adobe zu passen.

Ob möglicherweise auch Adobes Webshop von dieser Directory-Traversing-Lücke betroffen ist und sich so Kundendaten abrufen lassen, ist derzeit noch unklar. Allerdings kursieren die URLs bereits in Foren und Chats, und es dürfte nur eine Frage der Zeit sein, bis jemand auf solche Daten stößt. Adobe wurde per Mail bereits über das Problem informiert. (dab)