Wenn man eine Sicherheitslücke dieses Kalibers entdeckt, staunt man Bauklötze… Auf dem Webserver eines Kunden habe ich folgendes Szenario vorgefunden:
Dort waren zwei virtuelle Hosts eingerichtet, beispielsweise
- /var/www/www1.example.com/
- /var/www/www2.example.com/
Anfragen an www1.example.com und www2.example.com wurden an die entsprechenden vHosts weitergeleitet. In den o.g. Verzeichnissen lagen dann das wwwroot, Datenbank-Backups, SSH-Schlüssel etc. herum.
Vielleicht ist das nicht grad die reine Lehre, aber mal ehrlich, bei wem siehts anders aus… :) Das beschriebene Szenario ist noch kein echtes Problem, solange sicherheitsrelevante Dateien außerhalb der wwwroots liegen und das taten sie ja — scheinbar.
Leider hat der ursprüngliche Admin, der den Webserver seinerzeit eingerichtet hatte und den ich übrigens nicht kenne, eines übersehen: In der Konfiguration des httpd war weiterhin /var/www als Standard-Rootverzeichnis eingerichtet. Und über die IP-Adresse der Maschine konnte man alles innerhalb von /var/www per http abrufen, also Datenbank-Dumps, SSH-Keys… alles. Man musste nur Pfade erraten. Das wäre im Prinzip kein Problem gewesen, weil man leicht hätte herausfinden können, welche Software dort läuft. Eine IMHO klassische File Disclosure-Sicherheitslücke.
Welche Schlüsse kann man nun daraus ziehen?
- Sensible Dateien dürfen nicht dort gespeichert sein, wo der httpd hinkommt.
- Zusätzliche Einstellungen dürfen nicht einfach auf die vorhandenen “aufgeflanscht” werden, sondern sie müssen im Rahmen des vorhandenen Sicherheitskonzepts gemacht werden.
Punkt 1 ist so eine Sache. Da halte ich mich selbst nicht immer dran, beispielsweise wenn eine Software es so voraussetzt und es zu aufwändig oder gar unmöglich ist, das zu ändern. Aber ein Ideal sollte dieser Punkt zumindest sein. Ob und wie weit man sich dem nähert ist eine andere Frage.
Punkt 2 halte ich daher für wichtiger. Als dritten Punkt könnte man vielleicht noch den nehmen: Wenn man schon Datenbank-Dumps auf dem Webserver speichern muss, sollte man sie zumindest verschlüsselt speichern.
Dass die Sicherheitslücke von mir behoben wurde ist klar denke ich :)
Wollen Sie auch Ihren Webserver von mir administrieren oder untersuchen lassen? Ich bin für Sie da, rufen Sie mich an.
Leave a Reply
You must be logged in to post a comment.