Sicherheitsprobleme bei Strato-Domains

Aufmerksame c't-Leser haben bei dem Internet-Dienstleister Strato AG Sicherheitslöcher gefunden. Unberechtigte Dritte konnten Linklisten und Gästebücher auf Strato-Webservern ohne Wissen der Domain-Besitzer anlegen. Sie hätten damit den Domain-Betreibern unseriöse oder gar strafbare Inhalte unterjubeln können. Einmal aktiviert können diese Foren nur durch Löschen des entsprechenden Verzeichnisses mit einem ftp-Client deaktiviert werden. In der vergangenen Nacht haben Techniker von Strato das Sicherheitsloch geschlossen.

Die unbefugt angelegten Seiten befinden sich unter den Links

www.domainname.de/forum/index.html
www.domainname.de/gaestebuch/
www.domainname.de/kleinanzeigen/
www.domainname.de/links/links.html

Alle Besitzer von Strato-Domains sollten die betreffenden Links auf ihren Servern überprüfen. Betroffen sind davon auch Nutzer der Strato-"Web-Visitenkarte" mit 1 MegaByte Speicherplatz, die eigentlich keine interaktiven Programme benutzen dürfen und diese erweiterten Möglichkeiten meist gar nicht kennen.

Ein weiteres Ärgernis bei Strato: Wer sich per anonymem ftp auf den ftp-Server seiner Domain anmeldet, kann die gesamte Verzeichnisstruktur aller Strato-Premium-Accounts einsehen. In den einzelnen Verzeichnissen liegen dann aber nur Dateien, die die Besitzer selbst in einem Download-Verzeichnis zum Abruf freigegeben haben. Ein eventuell vom Besitzer eingerichteter Passwortschutz wird durch den ftp-Zugriff jedoch umgangen. Nach Aussage von Markus Schrodt, Leiter Internet Services bei Strato, ist dies ein Problem der verwendeten Sun Solaris-Version, diese solle Ende September gegen eine neuere Version ausgetauscht werden. (ll)