“TeleTrusT”, der Bundesverband für IT-Sicherheit e.V. versteht sich als Kompetenznetzwerk für Mitglieder aus Industrie, Verwaltung und Wissenschaft. Dort entdeckten wir eine Schwachstelle, welche sich als nicht besonders kritisch herausstellte.
Bei der Besichtigung der Webseite fiel uns auf, dass man Typo3 nutzt. Uns war ein Exploit bekannt, mit welchen es unter ungünstigen Voraussetzungen möglich ist, eine Local File Inclusion auszuführen. Als wir das Problem näher betrachteten, konnten wir feststellen dass nicht alle Voraussetzungen erfüllt waren und es nur für eine Full Path Disclosure ausreichte. Ein weiterer Beweis dafür, dass selbst das am sichernste scheinste System Lücken hat, oder anders gesagt: Es gibt keine absolute Sicherheit!
Die LFI Lücke hätte einen tiefen Einblick bzw. eine Systemübernahme ermöglicht. Für einen Verband, welcher sich selbst mit IT-Sicherheit betitelt, wäre ein solcher Vorfall sehr ärgerlich gewesen.
Nachdem wir die Lücke am 18. November an die entsprechende Stelle meldeten erhielten wir bereits 3 Tage dannach eine freundliche Mail mit einem Dankeschön und dem Hinweis, dass die Lücke nun geschlossen sei.
Wir bedanken uns bei TeleTrusT für den schnellen fix und schließen damit den Fall ab.
Das Team der Internetwache.org
Screenshots
