Sicherheitsmängel bei Suchmaschinen der Endemann AG

Ungeschützer Adminbereich erlaubt Ändern der Einträge

Ein aufmerksamer Golem-Leser entdeckte eine Sicherheitslücke des Suchmaschinen- und Webkatalogbetreibers Endemann, durch die jeder über das Internet auf die Admin-Konsole der zugrundeliegenden Software zugreifen konnte.

Artikel veröffentlicht am ,

Mit Hilfe der URLs, die der Informant mitteilte, gelang es Mitarbeitern der Golem Network News am Mittwoch, die ungeschützten Administrationsseiten der Suchmaschinen Abacho und Aladin aufzurufen. Offenbar bestand die Sicherheitslücke bereits seit Dienstagnacht.

Stellenmarkt
  1. Software Consultant/IT Project Manager (m/w/d)
    ecovium GmbH, Neustadt, Düsseldorf, Pforzheim (Home-Office möglich)
  2. C# / .NET Softwareentwickler / Programmierer (m/w/d)
    PM-International AG', Speyer
Detailsuche

Die dort angebotenen Möglichkeiten zur Änderung und Löschung von Suchmaschinen- und Katalogeinträgen hätten böswilligen Eindringlingen als Schlachtfeld für allerlei Sabotageakte dienen können.

So konnten nicht nur einzelne Einträge gelöscht und gefälscht werden, sondern auch der gesamte Kategorienbaum der Suchmaschinen und Kataloge durcheinander gebracht werden.

Des Weiteren hatte man Zugriff auf die Templates zur Seitenerzeugung der Suchmaschinen und Kataloge, womit es wahrscheinlich auch möglich gewesen wäre, das Erscheinungsbild der Suchmaschinen zu modifizieren. Aus naheliegenden Gründen versuchten die Golem-Network-News-Redakteure Derartiges nicht.

Golem Karrierewelt
  1. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    17.-21.10.2022, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    07.-10.11.2022, virtuell
Weitere IT-Trainings

Hätte der Betreiber die Warnung der Software "WARNING: ADMIN Directory is not Password Protected", die beim Einloggen auf dem Bildschirm steht, nicht ignoriert, wäre das Problem nie entstanden.

Nachdem Golem.de die Betreiber informierte, wurde das Sicherheitsloch gestopft. Nach Auskunft eines Technikers von Endemann entstand die Sicherheitslücke durch Serverarbeiten, woraufhin die Rechte des entsprechenden Verzeichnisses geändert wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Superbase V
Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
Artikel
  1. Digitaler Zwilling: Verwirrung um Deepfake-Rechte an Bruce Willis
    Digitaler Zwilling
    Verwirrung um Deepfake-Rechte an Bruce Willis

    Bruce Willis soll dank Deepfake trotz Rente wieder in Filmen zu sehen sein - deuten zumindest viele Medien an. Nur leider stimmt es wohl nicht.

  2. Microsofts E-Mail: Modern Auth in Exchange macht Admins Arbeit
    Microsofts E-Mail
    Modern Auth in Exchange macht Admins Arbeit

    Ab dem 1. Oktober 2022 müssen Exchange-Clients zwingend Microsofts moderne Authentifizierung nutzen. Das bedeutet Mehrarbeit.
    Eine Analyse von Oliver Nickel

  3. Ottobrunn: Spatenstich für Hyperloop-Testsstrecke in Bayern
    Ottobrunn
    Spatenstich für Hyperloop-Testsstrecke in Bayern

    Die TU München baut eine kurze Hyperloop-Teststrecke in Ottobrunn/Taufkirchen. Der erste Spatenstich erfolgte durch Markus Söder.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. LC-Power LC-M27-QHD-240-C-K 389€) und Damn-Deals (u. a. Kingston A400 240/480 GB 17,50€/32€, NZXT Kraken X73 139€) • Alternate: Weekend Sale • Razer Strider XXL 33,90€ • JBL Live Pro+ 49€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ • LG OLED65CS9LA 1.699€ [Werbung]
    •  /