• Menü
  • Hochschulpolitik
  • Arbeitsplatzbuchsystem der UBL von mehreren gravierenden Sicherheitslücken betroffen

    Im System der Universitätsbibliothek war das Auslesen, Modifizieren und Löschen aller Buchungen möglich. Dies zeigt eine Analyse von luhze. Die Lücken wurden mittlerweile geschlossen.

    Das Arbeitsplatzbuchungssystem der Universitätsbibliothek Leipzig (UBL) war bis vor kurzem gefährdet, Opfer von Hacker-Angriffen zu werden. Dies deckte luhze bei einer Untersuchung auf. Die UBL reagierte auf den Hinweis und schloss die Sicherheitslücken. Das Buchungssystem wurde nach Beginn der Corona-Pandemie geschaffen, um Studierenden geregelt das Arbeiten in den Bibliotheken zu ermöglichen. Dafür muss im Voraus ein Platz über die Website der UBL gebucht werden. Im Dezember wurden die Lesesäle der Bibliotheken wegen der steigenden Corona-Fallzahlen geschlossen und somit auch das Buchungssystem abgeschaltet. Seit dem 14. Mai ist es nun wieder online.

    Recherchen von luhze ergaben weniger Tage später, dass das System eine Vielzahl gravierender Sicherheitslücken hatte. Über den einfachen Aufruf einer URL konnten alle Buchungseinträge ausgelesen werden. Gespeichert war die dazugehörige Bibliotheksausweisnummer, das Datum, die Uhrzeit, die Bibliothekszweigstelle, der Sitzplatz und der Buchungscode. Über eine weitere URL konnten die gerade angemeldeten Personen, also deren Bibliotheksausweisnummern und ihre Tokens, eingesehen werden. Tokens werden verwendet, um Nutzer*innen nach erfolgreicher Anmeldung als authentifiziert zu erkennen. Dabei speichert der Browser den Token und schickt ihn zum Beispiel bei der Platzbuchung mit den Eingabedaten wie Zeit und Ort mit an den Server. Durch die Möglichkeit diese Tokens einzusehen, kann sogenanntes Session Hijacking durchgeführt werden. Dabei gibt sich ein*e Angreifer*in mit diesem Token gegenüber dem System als die angemeldete Person aus und hat so die Möglichkeit die Buchungseinträge der Person auszulesen, zu modifizieren oder zu löschen.

    Neben diesen ungeschützten URLs, die wahrscheinlich nur für den internen Gebrauch gedacht waren, fand luhze auch mehrere kritische Sicherheitslücken im System. So konnten auch über das Manipulieren von Datenbankabfragen alle gespeicherten Buchungseinträge ausgelesen und gelöscht werden. Bei solchen SQL-Injections werden der Applikation modifizierte Eingabedaten, wie zum Beispiel eine geänderter Bibliotheksausweisnummer geschickt. Diese enthalten Zusatzinformation, welche die Datenbank anweisen, nicht nur die eigenen Buchungen abzufragen oder zu löschen, sondern zum Beispiel auch alle anderen.

    „Wir haben keinerlei Anhaltspunkte für unberechtigte Zugriffe, Modifikationen oder Löschungen“, erklärt eine Pressesprecherin der UBL. Auf die Frage ob und wie sie dies mit Sicherheit ausschließen können, hat die UBL auf Anfrage nicht geantwortet.

    Hochschuljournalismus wie dieser ist teuer. Dementsprechend schwierig ist es, eine unabhängige, ehrenamtlich betriebene Zeitung am Leben zu halten. Wir brauchen also eure Unterstützung: Schon für den Preis eines veganen Gerichts in der Mensa könnt ihr unabhängigen, jungen Journalismus für Studierende, Hochschulangehörige und alle anderen Leipziger*innen auf Steady unterstützen. Wir freuen uns über jeden Euro, der dazu beiträgt, luhze erscheinen zu lassen.

    Verwandte Artikel

    Universität Leipzig wappnet sich gegen Cyberangriffe

    Nicht nur der Bundestag ist Ziel von Cyberangriffen, auch Universitäten stehen immer öfter unter Beschuss. Die Universität Leipzig rüstet sich.

    Hochschulpolitik | 19. März 2020

    Herumgedruckst

    Nach einigem Hin und Her bleiben die Druck- und Kopiergeräte in der Universität und den Bibliotheken nun doch erhalten.

    Hochschulpolitik | 12. Mai 2021