+43 699 / 18199463
office@itexperst.at

Webseite des US-Heimatschutzministeriums gehackt

Eine Webseite des Heimatschutzministeriums wurde durch eine Directory-Traversal-Sicherheitslücke geknackt. Die Hackergruppe NullCrew hat den Angriff veröffentlicht, die gehackte Website: studyinthestates.dhs.gov

Über die sehr triviale Sicherheitslücke konnten die Hacker die Konfiguration der Webseite, einschließlich des Datenbankpassworts, einsehen.

Ein Mitarbeiter von Sophos:

„In really bad cases, attackers might even be able to hoist themselves out of your web server’s directory tree altogether, and into the rest of the filing system. This might give them access to password and configuration files for the operating system itself, or for other software running on the same server.“

Eine URL in der Art wie: http://example.org/known/dir/download.php?file=somename.dat kann mit  folgendem Code missbraucht werden: http://example.org/known/dir/download.php?file=../../private.dat“. Angreifer müssen über den Umstand Bescheid wissen, für den Angriff ist jedoch nur ein Browser notwendig.

Es waren nicht die aktuellsten Patches (Apache 2.2.3 auf Red Hat and PHP 5.3.3) am Server installiert. Durch einfaches Einspielen der Sicherheitspatches hätte der Sicherheitsvorfall vermieden werden können.

Artikel von theregister.co.uk, 07.01.2013: US Dept for Homeland Security shafted by trivial web bug

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen