Admin-Oberfläche Froxlor verrät Datenbank-Passwörter
Das Server-Management-Panel Froxlor ist verwundbar und Angreifer können unter Umständen das Datenbank-Passwort aus der Ferne auslesen. Eine gefixte Version ist aber noch nicht für alle Linux-Distributionen verfügbar.
Über eine Sicherheitslücke im Server-Management-Panel Froxlor bis Version 0.9.33.1 können Angreifer gegebenenfalls das Datenbank-Passwort abgreifen. Davor warnt ein Administrator im offiziellen Forum. Die abgedichtete Version 0.9.33.2 steht zum Download bereit. Reparierte Debian-Pakete sollen folgen.
Debian-Nutzer können ihre System über den Eintrag Alias /froxlor/logs /dev/null in der Apache-Konfiguration und einem anschließenden Neustart temporär absichern. Dem Anbieter zufolge geschieht dies aber auf eigene Gefahr. Ist das Update verfügbar und haben Admins es eingespielt, soll man den Eintrag wieder entfernen.
Wenn der MySQL-Server nicht erreichbar ist und Admins in der Zeit Froxlor öffnen, wird der Fehler geloggt. In diesem Fall landen dann auch der Benutzername und das Passwort in dem öffentlich zugänglichen Ordner /logs/sql-error.log. Passwörter sollen aber nur bis maximal 15 Zeichen für Angreifer einsehbar sein.
[UPDATE, 31.07.2015 10:10 Uhr]
Angriffsszenario spezifiziert. (des)
