www.tagesschau.de nochmal davongekommen

Auf den Hinweis eines c't-Lesers hin haben die Administratoren der Tagesschau-Webseiten ein gravierendes Sicherheitsloch geschlossen. Es handelte sich dabei um ein bisher nicht sonderlich bekanntes Problem im Zusammenhang mit Server Side Includes. Über spezielle Anweisungen können damit Web-Autoren Befehle in HTML-Code einbetten, die der Server vor der Auslieferung der Seiten ausführt, um zum Beispiel Standardelemente in die Seiten einzubauen.

Das Problem verursachte ein Skript, das Benutzereingaben nicht ausreichend überprüft und maskiert hat. So war es möglich, den SSI-Befehl "exec" so in eine Suchanfrage einzubetten, dass die Antwortseite des Servers diesen Befehl enthielt. Der SSI-Interpreter führte das Kommando dann aus, sodass es möglich war, beliebige Befehle mit den Rechten des Web-Servers auf der Maschine auszuführen. Stichproben zeigten ähnliche Probleme auch auf anderen Sites. Administratoren sollten deshalb unbedingt ihre Skripte überprüfen, ob diese SSI-Anweisungen aus Benutzereingaben ausfiltern. (ju)