News-Meldung vom 13.07.2006 16:53
Ein Botnetz-Betreiber nutzt derzeit eine bislang unbekannte Schwachstelle in der Joomla-Erweiterung perForms aus, um auf Joomla-Servern mit der verwundbaren Erweiterung einen IRC-Bot zu installieren. Infizierte Rechner lassen sich an einem laufenden Prozess namens httpdse und einer ausgehenden IRC-Verbindung erkennen. Der ausgenutzte Programmierfehler befindet sich in der PHP-Datei components/com_perform/perform.php. Sie bindet externe Dateien über den globalen Parameter $mosConfig_absolute_path ein, ohne zuvor sicherzustellen, dass er nicht manipuliert wurde. Ein Angreifer kann dadurch unter Umständen beliebigen PHP-Schadcode nachladen, wenn der Webserver mit register_globals=on läuft. Das Botnetz nutzt die Suchmaschine Google, um nach weiteren potenziellen Opfern zu suchen. Es umfasst derzeit rund 100 kompromittierte Server und wächst weiter.
Eine vergleichbare Schwachstelle wurde erst kürzlich in der Erweiterung Galleria bekannt. Möglicherweise ist sie auch in anderen Modulen zu finden. Den Joomla-Entwicklern ist die Problematik mit löchrigen Erweiterungen jedoch schon bekannt. Sie empfehlen allen Joomla-Betreibern, die PHP-Dateien ihrer Erweiterungen zu überprüfen. Diese sollten zu Beginn einer Zeile in der Form
defined( '_VALID_MOS' ) or die( 'Direct Access not allowed.' );
enthalten, die gegebenenfalls nachgerüstet werden sollte. Die Abfrage schützt die Skripte vor einem direktem Aufruf, wie es für die meisten Exploits notwendig ist. Ebenfalls ist es unbedingt ratsam, einen PHP-Webserver mit register_globals=off zu betreiben. Diese Einstellung in der php.ini schützt vor einem großen Teil der bekannten und unbekannten Schwachstellen in PHP-Skripten.
(cr)
English Version: Joomla extension perForms in grave danger
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-141493
Themen-Forum Schwachstellen
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
