14.10.2003 10:18
Content-Management-System PHP-Nuke verwundbar
Zwei Fehler in der plattformunabhängigen Open-Source CMS-Lösung PHP-Nuke gefährden den sicheren Betrieb. Der erste Fehler ermöglicht einem Angreifer beliebige Dateien auf das System hochzuladen und auszuführen. Schuld ist das Modul "mailattach.php", das im Usernamen enthaltene Pfade nicht ausfiltert. Damit legt man im Verzeichnis seiner Wahl eine PHP-Datei als Mailattachment ab und startet sie anschließend mit dem Modul "modules.php" und den entsprechenden Parametern. Die Lücke findet sich in Version 6.7, andere Versionen sind wahrscheinlich ebenfalls betroffen. Als Workaround ist in dem Security Advisory zur Lücke ein Vorschlag zu finden, wie man das fehlerhafte Modul mit zusätzlichen Abfragen sicherer macht.
Auf Bugtraq beschreibt ein Posting einen Bug in Version 6.6. Andere Versionen können den Fehler auch enthalten, sind aber nicht daraufhin getestet worden. Eine Schwachstelle im Modul "modules.php" ermöglicht das Einschleusen von Befehlen in die SQL-Datenbank (SQL-Injection). Der Parameter "cid" wird nicht daraufhin überprüft, ob er nur numerische Zeichenketten enthält. SQL-Befehle lassen sich damit als Parameter übergeben und ausführen. Ist die darunterliegende Datenbank MySQL 4.x, kann ein Angreifer die Passwort-Hashes der Datenbank einsehen. Abhilfe schafft auch hier nur die zusätzliche Überprüfung des Parameters mit der Funktion is_numeric().
PHP-Nuke ist eine Out-of-the-Box-Lösung zum schnellen Aufbau einer Webseite mit Content-Management. Der Name ist Programm: Basierend auf PHP ist es plattformunabhängig. Leider finden sich in PHP-Nuke immer wieder sämtliche Klassiker der Sicherheitslücken: SQL-Injection, Information Disclosure, Hochladen und Ausführen beliebiger Dateien sowie Cross-Site-Scripting. Auch ist die Grundinstallation nicht gerade als sicher zu bezeichnen. Anwender sollten bei einem Einsatz des Produktes regelmäßig ein Auge auf etwaige Security-Meldungen werfen.
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
