Seite 2: Auswirkungen

Inhaltsverzeichnis

Beabsichtigt war die Konfiguration in keinem von c’t untersuchten Fall; nach der Kontaktaufnahme unsererseits haben alle hier genannten Organisationen ihre Serverkonfiguration schnell angepasst. Wie schwerwiegend die Auswirkungen solcher Fehlkonfigurationen sind, ist allerdings von Fall zu Fall ganz unterschiedlich und hängt davon ab, welche anderen Probleme ein Server mit sich herumträgt. Die von mod_info exponierte Seite listet beispielsweise die Versionen des genutzten Apache-Servers sowie eingesetzter Module und SSL-Bibliotheken auf. Das ist fatal, wenn es sich um alte Versionen mit bekannten Sicherheitslücken handelt.

Beim CERT-Bund – das mod_info, aber nicht mod_status exponiert hatte – war das nicht der Fall. Aber die Infoseite enthält trotzdem zahlreiche Informationen, die man potenziellen Angreifern nicht liefern möchte. c’t konnte so zum Beispiel nachvollziehen, wie mod_info den Zugriffsbeschränkungen beim CERT-Bund entgangen war.

Veröffentlichte IP-Adressen

Schlimmer sind häufig die Auswirkungen von mod_status. Das Modul zeigt zwar weniger Konfigurationsdetails an, veröffentlicht standardmäßig aber aktuelle Requests. Die Requests geben zum einen Aufschluss über IP-Adressen, die einen Server kontaktieren. Dabei handelt es sich üblicherweise um personenbezogene Daten, die nicht ohne Weiteres veröffentlicht werden dürfen.

Ironischerweise helfen hier Systeme wie Loadbalancer, obwohl sie, wie gesagt, die Lücke oft überhaupt erst aufreißen: Bei Requests, die durch so ein System gehen, sieht der Apache-Server nur die feste IP-Adresse dieses Systems und nicht die Adressen der Besucher. Etwa bei einem Server des Bundesfinanzministeriums verhinderte ein so vorgeschalteter Cache, dass Besucheradressen öffentlich wurden.