Eine kurze Analyse der Internetseite des Bundesgerichtshofes brachte eine kritische Sicherheitslücke in Form einer SQL Injection hervor.
Diese befand sich in einem Python-Script unter der Subdomain “juris”. Das Script diente zur Verwaltung von Dokumenten mit Gesetzesstellen.
Bei unseren Analysen stellen wir nur fest, ob es möglich wäre, einen solchen Angriff durchzuführen - führen diesen jedoch nicht aus. Daraus ergibt sich der Grund, weswegen wir nicht bewerten können, ob sich Daten Dritter in Gefahr befinden, oder ob in einer solchen Datenbank nur “unkritische” Daten vorhanden sind. Dies zwingt uns dazu, bei jeder gefundenen SQL Injection Lücke vom schlimmsten Fall auszugehen und sofort zu handeln.
Mithilfe von manipulierten Seitenaufrufen können Angreifer an die Daten der Datenbank gelangen oder diese nach belieben manipulieren.
Wir kontaktierten den Bundesgerichtshof per Kontaktformular am 01.06.2012 und fragten eine Woche später telefonisch nach dem Status des Hinweises. Daraufhin wurde uns mitgeteilt der IT Bereich sei zur Zeit sehr ausgelastet, doch der Hinweis würde dort schon vorliegen und man gebe den entsprechenden Personen erneut bescheid.
Noch eine weitere Woche dauerte es, bis das Problem behoben wurde, und man sich für den Hinweis bedankte.
Das Internetwache Team