Ratsinformationssystem mit schwerwiegenden Sicherheitsmängeln
- Details
- Veröffentlicht: Montag, 06. August 2012 22:58
- Geschrieben von Uwe Meier
Das Ratsinformationssystem (http://ratsinfo.braunschweig.de/) der Stadt hatte offenbar schwerwiegende Sicherheitsmängel. Der Piratenfraktion wurden letzte Woche mehrere Sicherheitslücken dieses System bekannt, die umgehend der städtischen IT gemeldet wurden.
Eine Sicherheitslücke, die über teilweise wählbare Einbindung lokaler Dateien (http://hakipedia.com/index.php/Local_File_Inclusion) zur Überlastung des Webservers durch unendliche Rekursion eines PHP-Scripts führt, war dabei noch die harmloseste.
Weit schwerwiegender waren mehrere SQL-Injection-Schwachstellen (http://de.wikipedia.org/wiki/SQL-Injection), über die ein nahezu vollständiger Zugriff auf die zugrunde liegende Datenbank möglich war. In dieser Datenbank liegen zum einen alle Dokumente des Ratsinformationssystems, also auch die nichtöffentlichen Unterlagen. Diese Unterlagen enthalten zum Beispiel Angebote auf Ausschreibungen, Personalblätter von Angestellten und Steuergeheimnisse unterschiedlicher Personen.
Zum anderen lagen in dieser Datenbank anscheinend auch Abrechnungsinformationen verschiedener ehemaliger Gremienmitglieder, insbesondere private Adressen, Telefonnummern und Kontoverbindungen, die über die Sicherheitslücke jeder herunterladen konnte.
Ob auch ein schreibender Zugriff und die Manipulation von Ratsbeschlüssen möglich war, ist bisher nicht bekannt.