Fagbladet Journalisten er ramt af et mystisk sikkerhedsproblem på netmediet Journalisten.dk som får sikkerhedseksperter til at rive sig i håret.
Den mulige fejl betyder, at besøgende, der tilfældigt surfer forbi, får fuld administrator-rettighed over netmediet. Uden at logge ind har gæsten frie hænder til at skrive artikler, ændre sidens opsætning, give eller spærre adgang til navngivne brugere og meget andet.
På den måde er det muligt at skrive eller ændre indlæg, blogs, artikler, rettigheder og udgivelsestidspunkt for alle personer eller historier der er listet i cms-systemet.
Journalisten.dk, der drives af Dansk Journalistforbund og er web-udgaven af fagbladet for forbundets knap 14.000 medlemmer, kører på en Apache-server med det anerkendte cms-system Drupal, der anvendes af en række aviser på nettet.
Computerworld blev opmærksom på problemet hos Journalisten.dk onsdag morgen og tog kort efter kontakt til en ekspert fra sikkerhedsfirmaet FortConsult for at få klarlagt årsagen til den mystiske fejl.
Cookie-fejl
Efter timers analyse onsdag er årsagen imidlertid stadig omgærdet af mystik. Foreløbig ligger det fast, at fejlen er relateret til en cookie, der giver administrator-rettigheder.
"Jeg har aldrig set denne type problem tidligere," siger Peter Österberg, der er seniorkonsulent i sikkerhed hos FortConsult.
'Umulig' adgang
Spørgsmålet er nu, hvorfor cms-systemet spytter administratorrettigheder ud til tilfældige besøgende, hvem de tilhører, og om problemet er relateret til andre sites, der benytter samme opsætning.
Det sidste er ikke utænkeligt, idet sandsynligheden for at få tildelt en cookie svarende til netop en administratornøgle er 1 til cifferindholdet i en 128-bit kryptering. Det er med andre ord umuligt at opnå disse rettigheder - med mindre der er tale om en fejl.
Alligevel skete det umulige onsdag morgen, da Computerworld besøgte Journalisten.dk uden at logge på. Vi blev af systemet opfattet som administrator med ubegrænsede rettigheder til fuldt og helt at manipulere indhold og rettigheder på alle niveauer.
En efterfølgende anlyse udført i samarbejde med en specialist fra sikkerhedsfirmaet Fortconsult har afdækket, at Drupal tilsyneladende accepterer samme cookie uanset hvilken platform, der benyttes. Således har det både været muligt at tilgå det udbredte cms-system fra Windows- og Linux-baserede maskiner.
Erkender problemet
Det har endnu ikke været muligt at få en kommentar om det kritiske sikkerhedsproblem hos Jens Jørgen Madsen, som er webredaktør for Journalisten.dk.
Men ifølge Journalistens chefredaktør, Jakob Elkær, er man klar over problemet, som man har gjort alt, hvad man kan, for at lukke.
Natten til torsdag blev der arbejdet intenst på sitet, formentlig som led i at forhindre adgangen fra uvedkommende.
Peter Österberg fra FortConsult vurderer, at man i løbet af torsdagen hos Journalisten.dk på serversiden har forsøgt at spore problemet og i den forbindelse har lukket serveren for at løse problemet.
"Hvis det var mig, der blev klar over, at dette problem eksisterede, ville jeg med det samme lukke hele systemet for ikke at risikere, at brugere uden rettigheder ødelægger eller ændrer sitet," siger Peter Österberg.
