Donnerstag, 25. Januar 2018

beA: Webserver der BRAK unsicher

Bei einem kurzen Blick auf die Sicherheit des BRAK Webserver (www.brak.de) sieht es sehr bescheiden aus. Zahlreiche Schwachstellen.

Stark veraltete Server-Software mit bekannten Sicherheitslücken.


Es wird die veralteter Version 2.2.16 des Apache Webserver verwenden. Diese stammt aus dem Jahre 2010. Hierzu sind eine Reihe ernst zu nehmende Sicherheitslücken bekannt.

Seit Sommer 2017 wird die 2.2.*-Linie nicht weiter gepflegt.


Nicht vertrauenswürdiges Server-Zertifikat


Das https-Zerifikat wurde ausgestellt von einer unseriösen CA: RapidSSL, einer der vielen Billigmarken des berüchtigten Snakeoil-Herstellers Symantec. Diese sind in der Vergangenheit immer wieder für unseriöse Praktiken unter Beschuß geraten, uA. hatten sie gefälschte Zertifikate im Namen von Google ausgestellt.

Aus diesem Grunde werden alle CAs des Symantec-Konzerns schrittweise aus den Browsern entfernt, dh. deren Zertifikate nicht mehr akzeptiert.


Veraltetes / unsicheres Verschlüsselungsprotokoll - TLS 1.0 von 1999


Der Server unterstützt lediglich eine veraltete, nach dem Stand der Technik als unsicher einzustufende, Version des Verschlüsselungsprotokolls TLS. Diese stammt noch aus dem Jahre 1999 und wurde schon vor einem Jahrzehnt durch die Version 1.2 ersetzt.

Zudem werden eine Reihe veralteter bzw. als schwach / unsicher bekannte Verschlüsselungsverfahren (zB. RC4) eingesetzt und zahlreiche andere Sicherungsmaßnahmen unterlassen.

Siehe zB. hier.

Der Mailserver verwendet ähnlich schwache Verschlüsselung (TLSv1, zu kurze Schlüssel, etc).

Stand der Technik nicht erreicht


Zusammenfassend muß man auch hier feststellen, daß die BRAK nichtmal beim Web- und Mailserver den Stand der Technik auch nur annähernd erfüllt. Hierbei handelt es sich sogar um das alltägliche Handwerkszeug eines jeden auch nur annähernd seriösen System-Administrators.

Keine Kommentare:

Kommentar veröffentlichen