Auf dem Internetportal des Justizministeriums Baden-Württemberg war von einem Leser der Website „heise Security“ eine Sicherheitslücke entdeckt worden. Datenbankpasswörter und „andere Konfigurationseinstellungen“ konnten eine Zeit lang von den Besuchern des Justizportals im Klartext eingesehen werden.
Durch eine Sicherheitslücke waren Datenbankpasswörter und andere Konfigurationseinstellungen auf dem Portal des Justizministeriums Baden-Württemberg öffentlich einsehbar. Dies hätte für Angriffe auf die Server oder falsche Eingaben in die Urteilsdatenbank genutzt werden können. Auf einen entsprechenden Hinweis von heise Security hin wurden die Sicherheitslücken nun geschlossen.
Durch falsch gesetzte Berechtigungen auf den Servern hatten Besucher von außen Einsicht in den Quelltext der Anwendungen und konnten auf Datenbankpasswörter im Klartext zugreifen. Der sichtbare Quelltext enthielt auch Code, der bei Eingaben in Suchformularen der Urteilsdatenbank SQL-Injection-Angriffe verhindern sollte. Mit den durch die Lücke einsehbaren Informationen hätten Angreifer die Arbeitsweise der Web-Applikation analysieren und falsche Einträge in die Urteilsdatenbank schmuggeln oder weitergehende Angriffe ausführen können. Betroffen waren unter anderem die Urteilsdatenbanken des Bundesgerichtshofes, des Bundessozialgerichtes, des Bundesfinanzhofes und der Landgerichte der Länder Baden-Württemberg, Schleswig-Holstein, Hamburg und des Saarlands.
via Sicherheitslücke beim Justizministerium Baden-Württemberg | heise Security.