Update für Web-Analyse-Software Piwik beseitigt Sicherheitslücke
Durch präparierte Cookies soll es einem Angreifer möglich sein, Dateien auf den Server zu laden oder eigenen PHP-Code auszuführen und so das System unter seine Kontrolle zu bringen.
- Daniel Bachfeld
Die freie Web-Analyse-Software Piwik ist in Version 0.5 erschienen und behebt eine Sicherheitslücke im Zusammenhang mit Cookies. Die Piwik-Entwickler verstehen ihr Tool als Alternative zu Google Analytics. Unter anderem ist Piwik auf den größeren Webseiten gruene.de, liberale.de und attac.de im Einsatz.
Ursache des Sicherheitsproblems ist die Verwendung der PHP-Funktion unserialize() beim Einlesen von User-Cookies und Konvertieren der enthaltenen Daten in PHP-Daten. Durch präparierte Cookies soll es einem Angreifer möglich sein, Dateien auf den Server zu laden oder eigenen PHP-Code auszuführen – und so das System unter seine Kontrolle zu bringen.
Das unserialize-Problem in Zusammenhang mit der Verarbeitung von Nutzereingaben mit PHP ist grundsätzlich nicht neu. Der Sicherheitsdienstleister SektionsEins hat sich näher mit dem Problem beschäftigt ("Shocking News in PHP Exploitation" (PDF)) und stieß dabei nicht nur auf die nun veröffentlichte Schwachstelle in Piwik, sondern auch in weiteren PHP-Anwendungen, darunter das PHP-Intrusion-Detection-System PHPIDS. Das Problem wurde dort bereits im Oktober mit der Version 0.6.3.1 beseitigt.
Siehe dazu auch:
(dab)
