TWiki lässt sich beliebige Skripte unterschieben

Durch Anfügen eigener Suffixe kann ein Angreifer den Upload-Filter austricksen und trotzdem ausführbare Skripte auf dem Server ablegen und mit dessen Rechten starten.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Für das Open-Source Wiki-System TWiki steht ein Update bereit, in dem eine potenzielle Schwachstelle geschlossen ist. Nach Angaben der Entwickler fügt der Upload-Filter von TWiki nicht in allen Fällen die Endung .txt zu ausführbaren Skripten hinzu. Diese Funktion soll eigentlich das mögliche Ausführen hochgeladener Skripte verhindern. Betroffen sind alle Versionen seit 1. Dezember 2000.

Durch Anfügen eigener Suffixe kann ein Angreifer aber den Filter austricksen und trotzdem ausführbare Skripte auf dem Server ablegen und mit dessen Rechten starten. In der Regel ist dies bei TWiki laut Fehlerbericht nur im pub-Verzeichnis möglich, bei richtig konfigurierten Server sollte dort eigentlich das Ausführen der Skripte auch nicht erlaubt sein. Da dies manchmal doch der Fall ist, beschreiben die TWiki-Entwickler in ihrem Bericht zusätzlich, wie man verhindert, dass Skripte im pub-Tree etwa von PHP- und Perl-Interpreter ausgeführt werden. Das Update beseitigt deshalb nicht nur die Lücke in TWiki, sondern nimmt zusätzliche Änderungen an der Serverkonfiguration vor.

Siehe dazu auch: (dab)