Blindes Vertrauen und Sicherheit städtischer Serviceportale

Die regio iT bietet mit ihrem Serviceportal eine Lösung zur Digitalisierung kommunaler Dienstleistungen. Auf der Homepage der regio iT heißt es dazu: Trotz OZG ruhig schlafen Der Termin naht: Bis zum 31. Dezember 2022 müssen rund 250 Dienstleistungen von den Kommunen auch online angeboten werden. So steht es im Onlinezugangsgesetz (OZG). Viele Behörden greifen auf […]

Nahezu ungeschützte Gesundheitsdaten im Kreis Heinsberg

Bis vor einer Woche betrieb der Kreis Heinsberg zwei Portale zur Verwaltung sensibler Daten. Neben personenbezogenen Daten wie Name, Anschrift und Telefonnummer, wurden auch Informationen zu psychischen Problemen nahezu ungeschützt gespeichert. In einem weiteren Portal wurden Informationen zum sprachlichen Förderbedarf von Grundschülern erfasst. Sozialpsychiatrischer Dienst Auf der Webseite des Kreises Heinsberg wird das Angebot des […]

Icinga2 setup without connection to Master

My network consists of several locations connected using VPN tunnels. All machines within this network are monitored using icinga2. Adding new machines and generating the required certificates can be easily done using node wizard. This requires the master to be reachable from the new node. To monitor my public services (like this blog) I’m using […]

WebUntis: Warum XSS Filter eine schlechte Idee sind

Noch am Tag der Veröffentlichung wurde die hier genannte Schwachstelle geschlossen. Über die Details liegen derzeit keine Informationen vor. Ende März diesen Jahres habe ich mehrere Schwachstellen in der Stundenplan- und Klassenbuchsoftware WebUntis in einem Responsible Disclosure Verfahren offengelegt. Neben einer CSRF Schwachstelle war es auch an mehreren Stellen möglich, JavaScript in die Webapplikation einzuschleusen. […]

Offizielle Stellungnahme von Untis zu Sicherheitslücken in WebUntis

Die Firma Untis hat inzwischen mit einer offiziellen Stellungnahme auf eine Nachfrage im Untis Forum reagiert. Durch die Sichtung meiner Serverlogs bin ich frühzeitig auf den Post aufmerksam geworden. Den nachfolgenden Text habe ich als Reaktion meinerseits auf den entsprechenden Beitrag im Untis Forum gepostet. Da die von Untis gemachten Angaben teilweise unvollständig sind, muss […]

Stellungnahme an Untis zu Vorwürfen und Drohungen im Responsible Disclosure Verfahren

Die folgende Stellungnahme habe ich am 11.03.2020 an die Untis GmbH geschickt. Ursächlich waren Vorwürfe, ich hätte einen Teil der veröffentlichten Schwachstellen vor Veröffentlichung nicht gemeldet. Zudem drohte man mir im Rahmen der Veröffentlichung eines Teils der Schwachstellen mit nicht näher definierten, zu prüfenden, weiteren Schritten. So stelle die Veröffentlichung eines Teils der Informationen einen […]

Notenmanipulation in elektronischen Klassenbüchern

Am 07.06.2020 gelang der Nachweis, dass die umgesetzten Maßnahmen nicht ausreichnd sind. Mehr dazu hier. Die vollständige Veröffentlichung aller Details und Proof-of-Concepts ist am 22.03.2020 erfolgt. Seit dem 31.03.2020 existiert eine offizielle Stellungnahme der Firma Untis. Details dazu hier. Bei WebUntis handelt es sich um ein elektronisches Klassenbuch, das die Aufgaben eines herkömmlichen Klassenbuchs auf […]