In den Wahlkampf Wochen habe ich die ein oder andere Politiker Seite besucht, darunter auch die Seite von Matthias Groote (Mitglied des Europäischen Parlaments), der in meinem Landkreis für den Landrat kandierte. Allgemein wollte ich wissen ob die Seite Onpage optimiert ist. Dazu habe ich meine Chrome Extension zur Anzeige der robots.txt verwendet. Rein interessehalber.

Warning: Cannot modify header information - headers already sent by (output started at /home/www/htdocs/lv09/bzwe/kvleer/mgroote/_admin/_config.php:177) in /home/www/htdocs/_shared/_inc/whoami.inc on line 154

Erhalten habe ich nicht den gedachten Inhalt, sondern eine PHP Fehlermeldung. Die Meldung sieht nach einem typischen Anfängerfehler aus. Vor PHP Funktionen wie header(), session_start() und andere setzt man keine Ausgabe. Und wenn es zu Fehlermeldungen kommen kann, fängt man diese sowie so ab. Nun gut, das ist auch ein anderes Thema. Hoffentlich ist es ein Einzelfall. Doch auch auf den anderen Kundenseiten der pirobase imperia GmbH kommt es zu den besagten Fehlermeldungen. Diese Meldung erscheint immer, wenn eine nicht existierende Seite aufgerufen wird. So ist auch die Seite von Stephan Weil (www.stephanweil.de) und Doris Schröder-Köpf (www.schroeder-koepf.de) betroffen. Hier kommt wie bei groote.eu die PHP Fehlermeldung "Warning: Cannot modify header information - headers already sent by (output started at /home/www/htdocs/lv09/bzha/ubregha/weilste/_admin/_config.php:170) in /home/www/htdocs/_shared/_inc/whoami.inc on line 154".

Open Soure oder ein Information Disclosure?!

Beim genauen Hinblick auf die Meldung lässt sich schon erkennen welche Datei betroffen ist. Hier ist es die "/_shared/_inc/whoami.inc" Datei. Richtig krass wird es jetzt, weil die Datei ohne Probleme aufgerufen werden kann: http://www.matthias-groote.de/_shared/_inc/apps/validate.inc oder http://www.stephanweil.de/_shared/_inc/whoami.inc

whoami.inc

Sucht man sich jetzt die Kundenseiten über Google heraus (www.google.de/webhp?hl=de&q="Internetseiten+mit+dem+Web+Content+Management+System+Imperia"), so erhält man rund 500 Webseiten. Mit ein bisschen Mühe lassen sich bestimmt noch weitere Quelloffene Dateien finden. Es sollte reichen bekannte Datei- oder Funktionsnamen durchzugehen. Weitere betroffenen Dateien:

  • http://www.stephanweil.de/_shared/_inc/apps/validate.inc
  • http://www.matthias-groote.de/_shared/_inc/header.inc
  • http://www.matthias-groote.de/_shared/_inc/trackback.inc
  • http://www.matthias-groote.de/_shared/_inc/head.inc
  • http://www.matthias-groote.de/_shared/_inc/footer.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/kontakt.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/newsletter.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/comments.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/rss.inc
  • http://www.matthias-groote.de/_shared/_inc/recaptcha_form.inc
  • http://www.matthias-groote.de/_shared/_inc/apps/registration.inc
  • http://www.matthias-groote.de/_shared/_inc/meta_content.inc

Information Disclosure Melden?

Ihr fragt euch sicherlich warum ich jetzt so öffentlich über das Information Disclosure schreibe und die Sache öffentlich mache? Nun ja, vor ca. zwei Monaten habe ich die pirobase imperia gmbh per E-Mail bereits darüber informiert. Reaktion: Keine! Am 12. September 2016 habe ich dann einen zusätzlichen Tweet abgesetzt. Es kann ja gut sein, dass das Unternehmen nicht mehr mit E-Mails arbeitet. Reaktion: Fehlanzeige! Noch nicht mal Herr Groote hat darauf reagiert, obwohl er im Social Media Bereich sehr aktiv ist. Schade eigentlich, denn sonst müsste ich nun nicht darüber schreiben..

Was nun?

Das ist eine gute Frage. Als Nächstes werde ich Heiko Frenzel fragen. Ihm hatte ich damals über die sFTP-Plugin Unsicherheit informiert. Bei Heise Security kann ich mich auch mal melden. Habt ihr noch Ideen, was man unternehmen kann?

Bevor es in die nächste Runde geht, warte ich einfach mal ab. Vielleicht meldet sich jemand von der pirobase imperia GmbH bei mir oder sie schließen die Lücke sofort. Sollte es so sein, werde ich natürlich darüber berichten.