Bundesamt für Sicherheit in der Informationstechnik

G 3.68 Unzureichende oder fehlerhafte Konfiguration des z/OS-Webservers

Die Übernahme der Default-Einstellungen oder eine fehlerhafte Konfiguration des z/OS-Webservers kann zu Sicherheitsproblemen führen.

  • Bei Verwendung der standardmäßig vorgegebenen Einstellungen (httpd.conf-Datei) und falsch eingestellten Userid-Regeln können durch die MVSDS Funktion des Webservers unter Umständen Dateien angezeigt werden, die dem Anwender normalerweise unter seiner Kennung nicht zur Verfügung stehen sollten, wie z. B. Systemdateien.
  • Administrationsfehler können dazu führen, dass Prozesse des z/OS-Webservers unter der Started-Task-Kennung laufen. Besitzt diese Kennung hohe Rechte im System (z. B. Superuser), kann dies zu Sicherheitsproblemen führen. Datei-Zugriffe und Kommandos erfolgen dann unter der Autorisierung dieser Kennung. Als Folge sind u. U. Zugriffe auf Dateien mit Kundendaten oder, wie vorher beschrieben, auf Systemdateien über die MVS-Dataset-Display-Funktion möglich.
  • Der z/OS-Webserver unterstützt verschlüsselte Datenkommunikation über das SSL-Protokoll. Bei falscher Konfiguration der Parameter besteht dabei die Gefahr, dass die Verschlüsselung deaktiviert ist oder die Prozesse unter einer anderen RACF-Kennung laufen.

Weitere Gefährdungen werden im Baustein B 5.4 Webserver aufgeführt.

Beispiel:

  • Die Verwendung der Standarddefinitionen eines z/OS-Webservers ermöglichte es einem externen Angreifer, sich sensitive Dateien anzeigen zu lassen. Darüber hinaus war der Webserver so eingestellt, dass der Dienst mit hohen Rechten unter der eigenen Started-Task-Kennung lief. Einem externen Angreifer war es dadurch aus dem Internet möglich, die Dateien SYS1.PROCLIB und SYS1.PARMLIB anzuzeigen. Aus diesen Angaben konnte der Angreifer Informationen herauslesen, die den Angriff auf das gesamte z/OS-System erleichterten.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK