1.) Welche Medien haben die Geschichte aufgegriffen? 

Nicht viele, bis jetzt nur Fulda Info, Fuldaer Freiheit und auch im Fulda Wiki fand es Erwähnung.

2.) War Osthessen-News nicht interessiert?
Offenbar nicht, denn den Text hatte ich per Mail auch an die Redaktion bei Osthessen-News geschickt. Im Diskussionsteil des letzten Beitrags wurde spekuliert,  dass Medien dies ungern zum Gegenstand der Berichterstattung machen, um nicht selbst unter "Beschuss" zu geraten.

3.) Was war in den anderen Verzeichnissen?
Viele sehr alte (2001) Webserver-Logdateien, verschiedene Perlskripte und Kopien von Perlskripten, die eine andere Endung als .pl bekamen. Dazu ist zu beachten, dass .pl Dateien ausgeführt werden und daher eigentlich gegen neugierige Blicke immun sind. Gibt man den Sicherheitskopien dieser Dateien einen anderen Dateinamen z.B. .bak (dies war bei einigen Dateien der Fall), so lassen sie sich wie ganz gewöhnliche Textdateien betrachten. Konfigurationseinstellungen werden dadurch sichtbar.

Das Lustigste war aber die Datei "hier_gucken_wenn_was_hochzuladen_ist". Die Datei enthielt nur zwei Zeilen, nämlich den Loginnamen "admin" und in der zweiten Zeile ein Passwort, welches ich hier natürlich nicht wiedergebe.

4.) Kann und darf sowas passieren?
Eigentlich handelt es sich bei einem cgi-Verzeichnis um einen Ort, in dem nur ausführbare Dateien (meist Skripte) abgelegt werden sollten. Die Auflistung der Dateien eines cgi-Verzeichnisses ist in der Regel nicht möglich, wie es dazu kommt, dass dies auf dem Parzeller-Webserver anders gehandhabt wird, ist mir unklar.

Völlig leichtsinnig ist es, wenn Skripte sensitive Daten (z.B. Formulardaten) innerhalb des Document Root, also des öffentlich einsehbaren Bereichs des Webservers, ablegen.  Selbst wenn die Verzeichnisauflistung nicht möglich gewesen wäre, hätten die Dateinamen dieser Dateien (und damit der Inhalt) durch ausprobieren (brute force) herausgefunden werden können.

5.) Hat sich Parzeller bedankt?
Bis jetzt hat sich noch niemand bei mir vom Verlag gemeldet, damit habe ich aber auch nicht unbedingt gerechnet.

6.) War auch die Fuldaer Zeitung oder die Stadt Fulda betroffen?
Soweit wie ich die Sache überblicke, betraf dieses Problem nur den Verlag.

7.) Ist die Sache jetzt ausgestanden für Parzeller?
Davon abgesehen, dass die Kontaktformulare noch immer nicht wieder funktionieren, sind die Gefahren dieser Schwachstelle behoben.  Allerdings habe ich am Freitag (den 13.) Parzeller auf ein etwas größeres Problem hingewiesen, welches nichts mit dem cgi-Verzeichnis zu tun hat.

Nur registrierte Benutzer können Kommentare schreiben.
Bitte melden Sie sich an oder registrieren Sie sich.

Powered by AkoComment 2.0!