Sicherheitslücke in unserem Repository

Dieses Thema im Forum "Ankündigung" wurde erstellt von Matthias, 7. Dezember 2015.

  1. Matthias
    Offline

    Matthias Administrator

    Registriert seit:
    6. Juli 2011
    Beiträge:
    1.138
    Ort:
    Franken
    Liebe Community,

    vor wenigen Stunden erreichte uns die Info dass es möglich war unser privates Versionierungsrepository mit einem Trick auszulesen. Das bedeutet im Klartext dass die Möglichkeit bestand unseren Quelltext der Serverliste auszulesen. Was jedoch NICHT möglich war ist ein Zugriff auf die Datenbank, da keine Configdateien im Repository gespeichert wurden. Ebenso ist das Forum nicht im Repository zu finden. Ursache war ein Fehler meinerseits, der das eigentlich als privat eingestufte Repository dennoch auslesbar machte.

    Das aktuell schlimmste anzunehmende Szenario ist dass tatsächlich jemand die Möglichkeit gefunden hat den Quellcode auszulesen und im Quellcode eine Sicherheitslücke findet die es ihm ermöglicht Servereinträge zu manipulieren. Sollte euch daher etwas auffallen, meldet euch bitte bei uns. Wir prüfen aktuell noch unsere Log Dateien auf der Suche nach verdächtigen Hinweisen.

    Damit ihr nicht Gefahr lauft den gleichen Fehler zu machen wie wir, hier weiterführende Infos: http://www.heise.de/security/meldun...eiten-geben-sensible-Daten-preis-2764756.html

    Vielen Dank an @CabraHD für das finden dieser Schwachstelle!

    Wir entschuldigen uns für evtl. Unannehmlichkeiten und stehen gerne für weitere Fragen zu Verfügung.

    Mit freundlichen Grüßen,
    Matthias & minecraft-server.eu Team
     
    #1
  2. Matthias
    Offline

    Matthias Administrator

    Registriert seit:
    6. Juli 2011
    Beiträge:
    1.138
    Ort:
    Franken
    Seiner Aussage nach so wie es in dem Link oben steht. Er hat sich danach direkt an mich gewendet um mich darauf aufmerksam zu machen. Daher bin ich ihm auch sehr dankbar dafür.
     
    #2
    MichiPlaysYT, TheOldRock und jensIO gefällt das.