XSS bei der Bundesregierung

Update: Seit 10:45 Uhr ist das Problem gefixt.

Am 11.07.2011 habe ich das Presse- und Informationsamt der Bundesregierung auf eine Sicherheitslücke auf www.bundesregierung.de aufmerksam gemacht. Die E-Mail ging an [email protected] (die steht im Impressum) - bis heute gab es darauf keine Reaktion.

Bei der Sicherheitslücke handelt es sich um reflektives Cross-Site-Scripting, welches seit Jahren die Internet-Seuche Nummer 1 ist.

Auch viele Seiten die unter *.bund.de laufen, sind voll mit XSS.

Hier der Link zum Ausprobieren mit Nyan Cat und Popup:

http://www.bundesregierung.de/dbbabbau/index.jsp?ft=%22%3E%3Cimg%20src=%22http://media.tumblr.com/tumblr_lm8zd9q4bW1qgiyy3.gif%22%20onload=alert%28%22xss%22%29%3E&sel_rg4=0&sel_at6=0&rg2=&sel_rg5=0&submit=%3E+suchen

und in Kurzform zum Weitergeben und Verlinken:

http://goo.gl/PKdgJ

bundesregierung.de hatte auch schon öfter Probleme mit der Sicherheit. Das kann man hier, hier und hier nachlesen.