Sicherheitslücke in Groupware PHProjekt
Die Open-Source Groupware-Suite PHProjekt enthält einen kritischen Fehler in der Setup-Routine, mit der unautorisierte Angreifer die Konfiguration nachträglich ändern können, um eigene PHP-Skripte hochzuladen und zu starten.
Die beliebte Open-Source Groupware-Suite PHProjekt enthält einen kritischen Fehler in der Setup-Routine, über den sich die Konfiguration der Installation nachträglich ohne Admin-Rechte ändern lässt. Nach Angaben von Martin Münch vom Sicherheitsdienstleister it.sec ist es so möglich, mit dem standardmäßig angelegten Test-Account beliebige PHP-Skripte hochzuladen und zu starten. Zudem lässt sich durch den Fehler auch ohne Testkonto das Datenbank-Passwort ermitteln. Der Fehler findet sich in allen Versionen von PHProjekt. Die Entwickler haben eine neue Setup-Datei setup.php zum Download bereitgestellt, die die Sicherheitslücke beseitigt.
Siehe dazu auch: (dab)
- Security Advisory von PHProjekt
