CB-I19/0001

SACHVERHALT

Im WID Portal von CERT-Bund existierte eine mittlerweile geschlossene Cross-Site-Request-Forgery (CSRF) Schwachstelle. Es bestand die Möglichkeit, dass andere Webseiten die im persönlichen Profil gespeicherten Daten eines Benutzers ändern konnten. Voraussetzung wäre gewesen, dass ein Nutzer während des Angriffsversuchs auf unserer Webseite angemeldet war. Ein Auslesen der Benutzerdaten war zu keinem Zeitpunkt möglich. Die Daten, die hierbei verändert werden konnten, beinhalteten:

  • die Art der digitalen Signatur der bezogenen Meldungen (S/Mime oder PGP)

  • den Urlaubmodus (temporär keine E-Mail Zustellung während des Urlaubs)

  • die E-Mail Adresse für die Zustellung der WID Meldungen (diese kann von der E-Mail der Registrierung abweichen)

  • die Abonnements (Filter für die Produktauswahl)

BEWERTUNG

CSRF Schwachstllen stellen nach wie vor eine der häufigsten Schwachstellen in Web Anwendungen dar. Deren Auswirkung hängt dabei von dem Anwendungsszenario ab. Im unserem Fall – die Verwaltung eines E-Mail Abonnements – schätzen wir den potentiellen Schaden als gering ein.

MASSNAHMEN

Wir haben keinen Hinweis, dass diese Schwachstelle ausgenutzt wurde. Dennoch bitten wir Sie, Ihre Profildaten zu überprüfen und uns bei Auffälligkeiten darüber zu informieren.

DANKSAGUNG

Wir bedanken uns bei dem Finder der Schwachstelle, Herrn Hanno Böck Redakteur bei golem.de, für die verantwortungsvolle Meldung der Schwachstelle und die Gewährung einer angemessen Frist zur Beseitigung der Schwachstelle.

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.