Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Sicherheitsmängel bei Suchmaschinen der Endemann AG

Ungeschützer Adminbereich erlaubt Ändern der Einträge. Ein aufmerksamer Golem-Leser entdeckte eine Sicherheitslücke des Suchmaschinen- und Webkatalogbetreibers Endemann, durch die jeder über das Internet auf die Admin-Konsole der zugrundeliegenden Software zugreifen konnte.
/ Andreas Donath
Kommentare News folgen (öffnet im neuen Fenster)

Mit Hilfe der URLs, die der Informant mitteilte, gelang es Mitarbeitern der Golem Network News am Mittwoch, die ungeschützten Administrationsseiten der Suchmaschinen Abacho und Aladin aufzurufen. Offenbar bestand die Sicherheitslücke bereits seit Dienstagnacht.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Java-Softwareentwickler/-innen (m/w/d) Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln (öffnet im neuen Fenster)
Data Engineer mit Schwerpunkt AI & Power BI (m/w/d) IBC Solar AG, Bad Staffelstein (öffnet im neuen Fenster)
Datenbankentwickler (m/w/d) Oracle APEX TRIOLOGY GmbH, Braunschweig (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) für Datenbanksysteme in Vollzeit / Teilzeit Abrechnungszentrum Emmendingen, Stuttgart (öffnet im neuen Fenster)
OT-Systemtechniker (Operational Technology) (m/w/d) J. Bauer GmbH & Co. KG, Wasserburg am Inn (öffnet im neuen Fenster)
System Administrator Hard- und Software (m/w/d) DEMMEL AG, Scheidegg (öffnet im neuen Fenster)
IT-Administrator/in (m/w/d) Microsoft 365 Sekretariat der Ständigen Konferenz der Kultusminister der Länder in der Bundesrepublik Deutschland, Bonn (öffnet im neuen Fenster)

Die dort angebotenen Möglichkeiten zur Änderung und Löschung von Suchmaschinen- und Katalogeinträgen hätten böswilligen Eindringlingen als Schlachtfeld für allerlei Sabotageakte dienen können.

So konnten nicht nur einzelne Einträge gelöscht und gefälscht werden, sondern auch der gesamte Kategorienbaum der Suchmaschinen und Kataloge durcheinander gebracht werden.

Des Weiteren hatte man Zugriff auf die Templates zur Seitenerzeugung der Suchmaschinen und Kataloge, womit es wahrscheinlich auch möglich gewesen wäre, das Erscheinungsbild der Suchmaschinen zu modifizieren. Aus naheliegenden Gründen versuchten die Golem-Network-News-Redakteure Derartiges nicht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Hätte der Betreiber die Warnung der Software "WARNING: ADMIN Directory is not Password Protected", die beim Einloggen auf dem Bildschirm steht, nicht ignoriert, wäre das Problem nie entstanden.

Nachdem Golem.de die Betreiber informierte, wurde das Sicherheitsloch gestopft. Nach Auskunft eines Technikers von Endemann entstand die Sicherheitslücke durch Serverarbeiten, woraufhin die Rechte des entsprechenden Verzeichnisses geändert wurden.

Zur Startseite Kommentare

Relevante Themen

SecuritySicherheitslückeDatensicherheitSuchmaschineHackerInternet