Report 101500651 – Externe Sicherheitsüberprüfung beA Webanwendung – Atos IT Solutions and Services GmbH Verantwortlich:           I. Lorch Version/Datum:            1.0 / 18.12.2015 Vertraulichkeitsstufe:    Streng vertraulich org.xwiki.resource.servlet.RoutingFilter.constructExtendedURL(RoutingFil ter.java:193) org.xwiki.resource.servlet.RoutingFilter.doFilter(RoutingFilter.java:100 ) </pre><p><b>root cause</b></p><pre>org.xwiki.resource.CreateResourceReferenceException: Invalid URL [http://test.bea- brak.de/xwiki/bin/view/Main/Search?text=&quot;&gt;&amp;f_type=DOCUMENT&amp;f_ locale=de&amp;f_locale=&amp;r=1] org.xwiki.url.ExtendedURL.&lt;init&gt;(ExtendedURL.java:124) org.xwiki.resource.servlet.RoutingFilter.constructExtendedURL(RoutingFil ter.java:191) org.xwiki.resource.servlet.RoutingFilter.doFilter(RoutingFilter.java:100 ) </pre><p><b>root cause</b></p><pre>java.net.URISyntaxException: Illegal character in query at index 56: http://test.bea- brak.de/xwiki/bin/view/Main/Search?text=&quot;&gt;&amp;f_type=DOCUMENT&amp;f_ locale=de&amp;f_locale=&amp;r=1 java.net.URI$Parser.fail(URI.java:2848) java.net.URI$Parser.checkChars(URI.java:3021) java.net.URI$Parser.parseHierarchical(URI.java:3111) java.net.URI$Parser.parse(URI.java:3053) java.net.URI.&lt;init&gt;(URI.java:588) java.net.URL.toURI(URL.java:939) org.xwiki.url.ExtendedURL.&lt;init&gt;(ExtendedURL.java:122) org.xwiki.resource.servlet.RoutingFilter.constructExtendedURL(RoutingFil ter.java:191) org.xwiki.resource.servlet.RoutingFilter.doFilter(RoutingFilter.java:100 ) </pre><p><b>note</b> <u>The full stack trace of the root cause is available in the EdaWeb/3.0.24 logs.</u></p><hr class="line"><h3>EdaWeb/3.0.24</h3></body></html> 5.1.6.2       Lösung Der      Server     sollte     so    konfiguriert sein, dass dem   Benutzer    keine    technischen Fehlermeldungen/Informationen angezeigt werden. Debugging Output oder detaillierte Fehlermeldungen sollten in einer Produktivumgebung deaktiviert sein. Es wird empfohlen, nur einen Fehlercode ohne zusätzliche Systeminformationen anzuzeigen. © SEC CONSULT Deutschland Unternehmensberatung GmbH                                   Seite 21 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany

Report 101500651 – Externe Sicherheitsüberprüfung beA Webanwendung – Atos IT Solutions and Services GmbH Verantwortlich:           I. Lorch Version/Datum:            1.0 / 18.12.2015 Vertraulichkeitsstufe:    Streng vertraulich 5.1.6.3       Risiko Matrix Schwere Wahrscheinlichkeit                    1             4            9          16         25 1                      1              4            9         16          25 2                      2              8           18         32          50 3                      3             12           27         48          75 4                      4             16           36         64         100 5                      5             20           45         80         125 Schwere: Bezeichnet den Schweregrad des Fehlers (1...leicht - 25...sehr schwer). Wahrscheinlichkeit: Bezeichnet die Wahrscheinlichkeit, mit der die Lücke von einem Angreifer ausgenutzt wird (1...unwahrscheinlich - 5...sehr wahrscheinlich). 5.1.6.4       Risiko Klassifizierung Die Wahrscheinlichkeit, dass die Schwachstellen von einem Angreifer entdeckt Wahrscheinlichkeit werden, wird als hoch eingeschätzt. Es handelt sich um Information Disclosure Schwachstellen, die nicht zur direkten Schwere                      Kompromittierung des Systems führen. Die erhaltenen Informationen können jedoch vom Angreifer bei späteren Attacken verwertet werden. Risiko                       Gering (5) ÖNORM A 7700                 Kapitel 10: System- und Fehlermeldungen © SEC CONSULT Deutschland Unternehmensberatung GmbH                                                           Seite 22 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany

Report 101500651 – Externe Sicherheitsüberprüfung beA Webanwendung – Atos IT Solutions and Services GmbH Verantwortlich:          I. Lorch Version/Datum:           1.0 / 18.12.2015 Vertraulichkeitsstufe:   Streng vertraulich 5.1.7        Autorisierungsfehler Autorisierungsfehler erlauben es einem Angreifer unbefugt auf Ressourcen oder Funktionen zuzugreifen, für welche er nicht berechtigt ist. Durch Ausnutzen einer solchen Schwachstelle könnte ein Angreifer auf sensible Daten anderer Benutzer zugreifen. Über den Parameter msgid wird im Nachrichteneingang und den Entwürfen die zu betrachtende/bearbeitende Nachricht identifiziert. Einem Angreifer war es möglich diesen Parameter zu manipulieren und somit beschränkten Zugriff auf Informationen über Nachrichten anderer Benutzer zu erhalten. Folgende Informationen über fremde Nachrichten konnten eingesehen werden: -    Absender -    Empfänger -    Eigenes Aktenzeichen -    Aktenzeichen der Justiz -    Nachrichtentyp -    Gesendet-, Empfangen-, Zugegangen-Datum -    Dateiname, Name und Größe angehängter Dateien Die hier beschriebene Schwachstelle wurde am Fr. 11.12.2015 an das Unternehmen Atos IT Solutions and Services GmbH gemeldet und von den Entwicklern behoben. Ein Recheck am Mo. 14.12.2015 zeigte, dass die Schwachstelle behoben ist. 5.1.7.1       Proof-of-Concept Die folgenden beiden URLs sind Beispiele für den Aufruf von Nachrichten sowie Entwürfen. Durch das Abändern des Parameters msgid war es möglich auf Informationen über die Nachrichten anderer Benutzer zuzugreifen: https://test.bea-brak.de/bea/messages/view/view.xhtml?post- boxid=100757&msgid=106877&dswid=1870 https://test.bea-brak.de/bea/messages/create/createMes- sage.xhtml?msgid=107628&dswid=3500 Der folgende Screenshot zeigt, welche Informationen ein authentifizierter Benutzer über die Nachricht mit der msgid 106892 eines anderen Benutzers einsehen konnte. Die Client-Security Anwendung verhinderte einen Zugriff auf den Inhalt der Nachricht, jedoch waren große Teile der Metadaten der Nachricht für einen unberechtigten Benutzer immer noch ersichtlich: © SEC CONSULT Deutschland Unternehmensberatung GmbH                                        Seite 23 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany

Report 101500651 – Externe Sicherheitsüberprüfung beA Webanwendung – Atos IT Solutions and Services GmbH Verantwortlich:          I. Lorch Version/Datum:           1.0 / 18.12.2015 Vertraulichkeitsstufe:   Streng vertraulich Abbildung 2: Meta-Informationen, welche ein nicht autorisierter Benutzer über Nachrichten anderer Benutzer einsehen konnte. © SEC CONSULT Deutschland Unternehmensberatung GmbH                                        Seite 24 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany

Report 101500651 – Externe Sicherheitsüberprüfung beA Webanwendung – Atos IT Solutions and Services GmbH Verantwortlich:          I. Lorch Version/Datum:           1.0 / 18.12.2015 Vertraulichkeitsstufe:   Streng vertraulich 6 Version History Version        Datum                 Status/Änderungen   Erstellt von Verantwortlich 1.0      18.12.2015 Finale Version                     I. Lorch       I. Lorch © SEC CONSULT Deutschland Unternehmensberatung GmbH                             Seite 25 von 25 Ullsteinstraße 118, D-12109 Berlin, Germany