Die STERNBERG Software-Technik GmbH aus Bielefeld stellt CMS (Content Management Systeme) für Städte her. Insbesondere das Ratsinformationssystem der Firma wird in vielen Städten als Plattform für die Verwaltung und als Informationsplattform benutzt.
Oft informieren sich viele Benutzer über aktuelle Geschehnisse und politische Entscheidungen, sowie Ereignisse in der eigenen Stadt. Da unter solchen Nutzern zumeist auch recht unerfahrene Nutzer sind wäre eine Lücke fatal. Ein aufmerksamer Leser der Internetwache hat eine Schwachstelle in dem System lokalisiert, welche in Form einer XSS (Cross Site Scripting Lücke) vorlag. Der Hinweisgeber hat sich an uns gewandt, damit wir die Lücke verantwortungsvoll vermitteln. Eine kurze Nachprüfung zeigte ähnliche Lücken auf anderen Unterseiten des Ratsinformationssystems auf.
Wir haben sämtliche Lücken geschildert, worauf man uns freundlich nach weiteren Details fragte, dadurch konnten wir bereits einige Tage nach dem Melden der Lücke eine Schließung derselbigen vermerken. Der Erstkontakt fand am 16.09.2012 statt. Zunächst wurde die Demoseite auf der Sternberg Software-Technik GmbH abgesichert. Nach einigen Tagen hatte man auch die Kunden per Newsletter auf ein Update hingewiesen. Die Sternberg Software-Technik GmbH hat ein Update für alle laufenden online Systeme herraus gegeben, um auszuschließen, dass diese Lücke von irgendjemanden ausgenutzt werden kann. Ein solches Verhalten ist mehr als vorbildlich und zeigt, dass das Unternehmen flexibel und kompetent ist, sowie die Sicherheit der Kunden äußerst ernst nimmt.
Wir freuen uns das Internet mal wieder ein Stück sicherer gemacht zu haben und danken auch dem Hinweisgeber, Daniel Wagner ausdrücklich!
Hinweise zu Sicherheitslücken nehmen wir immer gerne entgegen, denn als etabliertes Projekt werden wir von den Unternehmen meist ernster genommen, als, wenn man sich “allein” an die Betreiber wendet. Man muss jedoch verstehen, dass wir aus Zeitgründen überwiegend kritische Lücken vermitteln, “kleinere” Lücken sollte man zunächst versuchen selbst zu melden. Wenn man in der Hinweismail seriös und freundlich ist, dann werden solche Hinweise zumeist auch dankbar aufgenommen und die Lücken geschlossen.
Wer uns Lücken übermitteln möchte kann dazu auf der Unterseite “Kontakt” entsprechende Informationen, sowie den PGP Key von uns einsehen: http://www.internetwache.org/pgp-kontakt/
Vielen Dank und eine sichere Zeit im Netz wünscht das Team der Internetwache.org
