Abo
  • Services:
Anzeige
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen.
Wie es genau mit dem Anwaltspostfach weitergeht, ist im Moment nicht abzusehen. (Bild: Martin Wolf / Golem.de (Montage))

Verwundbar für simple Cross-Site-Scripting-Lücke

Eine weitere Sicherheitslücke zeigte Markus Drenger in einem kurzen Video. Auf der Startseite der Anwendung - die natürlich zurzeit offline ist - gibt es einen URL-Parameter "dswid". Dieser war für einen trivialen Cross-Site-Scripting-Angriff anfällig. Man konnte schlicht in die URL entsprechenden Javascript-Code einfügen, der direkt ausgeführt wurde.

Anzeige

Damit hätte ein Angreifer, der einen Nutzer der Anwendung auf eine bösartige Seite lockt, jederzeit die komplette Kontrolle über die Webanwendung übernehmen können.

An dieser Lücke ist vor allem bemerkenswert, wie trivial sie zu finden war. Eine Suche nach Cross-Site-Scripting-Lücken in Variablen gehört üblicherweise zum Ersten, was man ausprobiert, wenn man die Sicherheit einer Webseite beurteilt.

Veraltete Software

Die lokale BeA-Software ist in Java geschrieben und nutzt eine ganze Reihe von externen Libraries. Einige davon sind uralt und haben bekannte Sicherheitslücken. So wird beispielsweise die Bibliothek log4j in Verison 1.2.17 eingesetzt. Laut der Projektwebseite wird der gesamte Versionszweig 1 seit Oktober 2015 nicht mehr unterstützt. Einige der anderen Bibliotheken sind laut Felix Rohrbach älter als das gesamte BeA-Projekt.

Auch auf dem Server nimmt man es bei BeA offenbar mit aktueller Software nicht so genau. Der Host bea-brak.de ist für die ROBOT-Sicherheitslücke in TLS anfällig. Es handelt sich dabei vermutlich um ein Netscaler-Gerät von Citrix, für das die jüngsten Sicherheitsupdates noch nicht installiert wurden.

Interessant ist in diesem Zusammenhang auch die Dokumentation von BeA. In der Liste der unterstützen Betriebssysteme findet man ausschließlich nicht mehr aktuelle Versionen. An Linuxsystemen wird offiziell nur OpenSUSE 13.2 unterstützt - dessen Support endete im Januar 2017. Windows wird demnach von Vista bis 8.1 unterstützt, Windows 10 findet man nicht, und auch von OS X wird nur die schon etwas ältere Version El Capitan unterstützt.

Weitere Probleme verweisen auf wenig Sicherheitsbewusstsein

Eine ganze Reihe von kleineren Problemen, die für sich genommen keine großen Sicherheitslücken darstellen, lassen zumindest Zweifel daran aufkommen, wie ernst man es bei der Entwicklung von BeA mit der Sicherheit genommen hat.

Neben der BeA-Webanwendung gibt es eine Informationsseite der Bundesrechtsanwaltskammer unter bea.brak.de - und die ist nur mittels unsicherer HTTP-Verbindungen erreichbar. Damit sind SSL-Stripping-Angriffe denkbar, da sicher viele Anwender zunächst diese Informationsseite aufrufen und sich von dort zum BeA-Login durchklicken. Auch die HTTPS-Konfiguration der eigentlichen BeA-Webanwendung ist nicht optimal, so kommt beispielsweise kein HSTS zum Einsatz.

Auf dem eigentlichen BeA-Server kann man mittels spezieller URLs Meldungen erhalten, die einem verraten, mit welchen Filterregeln diese gerade blockiert wurden. Auf der dort angezeigten Seite wird man an eine Helpdesk-Mailadresse und Telefonnummer verwiesen, diese sind jedoch nur Platzhalter.

 BeA: Noch mehr Sicherheitslücken im AnwaltspostfachHat SEC Consult all das übersehen? 

eye home zur Startseite
intnotnull12 06. Jan 2018

Genau so schauts aus. Auf eine perverse Art hat Atos nämlich alles richtig gemacht und...

Themenstart

Sharra 05. Jan 2018

Davon abgesehen, dass De-Mail eigentlich ein Flopp sondergleichen ist, funktioniert es...

Themenstart

tingelchen 05. Jan 2018

Finde auch, der Name passt perfekt :D

Themenstart

tingelchen 05. Jan 2018

Die Audits an den Zertifizierungsstellen sind oft der letzte Mist. Mich würde es nicht...

Themenstart

Hackfleisch 05. Jan 2018

Die BRAK ist die eigene, berufsständische Organisation der deutschen Anwaltschaft. Bea...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Zühlke Engineering GmbH, Eschborn
  2. über Hays AG, München
  3. Comline AG, Dortmund
  4. Hasso-Plattner-Institut für Digital Engineering gGmbH, Potsdam


Anzeige
Hardware-Angebote
  1. 1.499,00€
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Loki

    App zeigt Inhalte je nach Stimmung des Nutzers an

  2. Spielebranche

    Fox kündigt Studiokauf und Alien-MMORPG an

  3. Elektromobilität

    Londoner E-Taxi misst falsch

  4. 5G Radio Dot

    Ericsson kündigt 2-GBit/s-Indoor-Antennen an

  5. Zahlungsverkehr

    Das Bankkonto wird offener

  6. 20.000 neue Jobs

    Apple holt Auslandsmilliarden zurück und baut neuen Campus

  7. Auto-Entertainment

    Carplay im BMW nur als Abo zu bekommen

  8. Fehlende Infrastruktur

    Große Skepsis bei Elektroautos als Dienstwagen

  9. Tim Cook

    Apple macht die iPhone-Drosselung abschaltbar

  10. Nintendo Labo

    Switch plus Pappe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Microsoft Fall Creators Update ist final für alle Geräte verfügbar
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

Snet in Kuba: Ein Internet mit Billigroutern und ohne Porno
Snet in Kuba
Ein Internet mit Billigroutern und ohne Porno
  1. Boeing und SpaceX Experten warnen vor Sicherheitsmängeln bei Raumfähren
  2. Ericsson Datenvolumen am Smartphone wird nicht ausgenutzt
  3. FTTC Weitere 358.000 Haushalte bekommen Vectoring der Telekom

  1. Also keine Unterschrift mehr?

    Marvin-42 | 11:23

  2. 80 Euro für Stanzpape?

    attitudinized | 11:22

  3. Re: Wenn es sauber implementiert ist...

    das_mav | 11:22

  4. Re: Trotz gesteigerter Qualität fehlen mir noch...

    F.o.G. | 11:21

  5. Als einziger Hersteller von Smartphones hat Apple...

    deus-ex | 11:21


  1. 11:15

  2. 11:00

  3. 10:45

  4. 09:20

  5. 09:04

  6. 08:26

  7. 08:11

  8. 07:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel