Abo
  • Services:

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.

Eine Exklusivmeldung von Hanno Böck veröffentlicht am
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden.
Der elektronische Rechtsverkehr und das besondere elektronische Anwaltspostfach sorgen für viel Aufruhr in der deutschen Justitz. Jetzt musste auch noch das bundesweite Rechtsanwaltsregister abgeschaltet werden. (Bild: Mylius / Wikimedia Commons/GNU Free Documentation License)

Die Bundesrechtsanwaltskammer hat ein weiteres Problem mit einer Komponente des besonderen elektronischen Anwaltspostfachs. Wie Golem.de herausgefunden hat, nutzt das offizielle deutsche Rechtsanwaltsregister (Bundesweites Rechtsanwaltsverzeichnis, BRAV) eine veraltete Version der Java-Komponente Primefaces - und die ist für einen Angriff verwundbar, der es aufgrund einer kryptographischen Schwäche erlaubt, Code auf dem Server auszuführen. Damit hätte ein Angreifer theoretisch die Anwaltsdatenbank manipulieren können.

BeA wurde abgeschaltet - das Rechtsanwaltsregister läuft jedoch wieder

Inhalt:
  1. BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
  2. Verschlüsselte Befehle lassen sich mit Padding Oracle generieren

Das Rechtsanwaltsregister läuft auf derselben Domain wie das besondere elektronische Anwaltspostfach - kurz BeA. Dieses wurde vor Weihnachten wegen einer Sicherheitslücke abgeschaltet. Doch während das BeA selbst nach wie vor offline ist, wurde das Rechtsanwaltsregister schon nach wenigen Tagen wieder aktiviert.

Zwischenzeitlich hat die Bundesrechtsanwaltskammer die IT-Sicherheitsfirma Secunet beauftragt, die Sicherheit des BeA zu prüfen. Der Anwaltskammer liegt seit kurzem ein erster Zwischenbericht vor. Wie Golem.de erfahren hat, hält die Rechtsanwaltskammer diesen Bericht zur Zeit zurück, da darin Informationen über Sicherheitslücken von noch in Betrieb befindlichen Systemen zu finden seien.

Da das Rechtsanwaltsregister der einzige Teil des BeA ist, der zur Zeit nicht offline ist, war es naheliegend zu vermuten, dass es darin eine weitere Sicherheitslücke geben musste. Golem.de gelang es daher nach kurzer Zeit, diese Lücke zu finden.

Sicherheitslücke in Java-Komponente Primefaces seit 2016 bekannt

Stellenmarkt
  1. Bundeskriminalamt, Wiesbaden
  2. Lachmann & Rink Ingenieurgesellschaft für Prozeßrechner- und Mikrocomputeranwendungen mbH, Freudenberg, Dortmund

Ein Blick in den HTML-Quelltext des Rechtsanwaltsregisters verriet, dass es eine Softwarekomponente namens Primefaces nutzt. In Primefaces wiederum wurde 2016 von der Firma Minded Security eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, auf dem Server Java-Code auszuführen.

Das Problem ist also eine veraltete Java-Komponente. Schon in der BeA-Software selbst war eines der Sicherheitsprobleme, dass zahlreiche veraltete Java-Bibliotheken verwendet wurden. Die Lücke wurde in der im Juni 2016 veröffentlichten Version 6.0 von Primefaces behoben

Zuletzt wurde diese Sicherheitslücke auch laut Berichten im Forum von Primefaces aktiv ausgenutzt und Webseiten damit gehackt. Angreifer hatten damit Cryptocurrency-Miner auf Webseiten installiert.

Rechtsanwaltsregister wurde kurzfristig abgeschaltet

Es gelang uns, diese Sicherheitslücke anhand der Beschreibung von Minded Security im Rechtsanwaltsregister nachzuvollziehen und einen harmlosen Testcode auszuführen. Ein bösartiger Angreifer könnte mit diesem Wissen leicht die Kontrolle über das Rechtsanwaltsregister übernehmen und dort beispielsweise Daten ändern oder auch Malware über die Webseite ausliefern.

Wir haben der Bundesrechtsanwaltskammer empfohlen, aufgrund der Schwere der Lücke das Rechtsanwaltsregister vorläufig abzuschalten. Die Seite ist seit circa 12:40 Uhr am Freitag, den 13. April offline.

Am Sonntag ist ein Treffen der Bundesrechtsanwaltskammer mit den Vorsitzenden der lokalen Rechtsanwaltskammern geplant, dort sollen diese über den Stand der Dinge beim BeA informiert werden.

Verschlüsselte Befehle lassen sich mit Padding Oracle generieren 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 4,99€
  2. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  3. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)

Folgen Sie uns
       


Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Filmkritik Ready Player One: Der Videospielfilm mit Nostalgiemacke
Filmkritik Ready Player One
Der Videospielfilm mit Nostalgiemacke

Steven Spielbergs Ready Player One ist eine Buchadaption - und die Videospielverfilmung schlechthin. Das liegt nicht nur an prominenten Statisten wie Duke Nukem und Chun-Li. Neben Action und Popkulturreferenzen steht im Mittelpunkt ein Konflikt zwischen leidenschaftlichen Gamern und gierigem Branchenriesen. Etwas Technologieskepsis und Nostalgiekritik hätten der Handlung jedoch gutgetan.
Eine Rezension von Daniel Pook

  1. Filmkritik Tomb Raider Starke Lara, schwacher Film
  2. Filmkritik Auslöschung Wenn die Erde außerirdisch wird
  3. Vorschau Kinofilme 2018 Lara, Han und Player One

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  2. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen
  3. DSGVO Zuckerberg will EU-Datenschutz nicht weltweit anwenden

    •  /