Download für CMS PostNuke manipuliert

Die Download-Adresse des auf Postnuke.com angebotenen Installationspakets des Open-Source Content-Management-Systems PostNuke wurde am vergangenen Sonntag manipuliert. Anwender, die sich von dort eine Version heruntergeladen und auf einem Webserver installiert haben, laufen Gefahr, die Kontrolle über ihr System zu verlieren.

Postnuke.com zufolge zeigte die Adresse auf ein kompromittiertes Archiv, in dem Unbekannte einige Dateien ausgetauscht hatten, sodass die bei der Installation des CMS eingegebenen Daten wie Servername, Datenbankkonto und Administratorkennwort an einen fremden Server weitergeleitet werden. Zudem wurden einige zusätzliche Abschnitte in die Core-Dateien eingebaut, mit der sich beliebige Shell-Kommandos auf dem Server durchführen lassen. Mittlerweile haben die Betreiber der Seite die richtige Adresse zum Archiv wieder hergestellt.

Die Angreifer nutzten offenbar eine Sicherheitslücke im Download-Management-System "pafiledb", um die Download-Adresse von PostNuke-0.750.zip auf ein kompromittiertes Archiv zeigen zu lassen. Von den Projektverantwortlichen wird ausdrücklich darauf hingewiesen, dass der Angriff nicht über die PostNuke-Installation oder das PostNuke-eigene Download-Modul statt fand. Von der Manipulation war nur http://downloads.postnuke.com betroffen. Anwendern, die von dort ein .zip-Paket nach dem 24.10.2004, 23.52 Uhr heruntergeladen und installiert haben, empfiehlt das PostNuke-Team, die Datei /includes/pnAPI.php zu löschen und durch das Original aus einem frischen Download oder dem CVS zu ersetzen. Zudem sollten Anwender das Administratorkennwort und die Datenbank-Credentials ändern. Ob das System bereits kompromittiert wurde, lässt sich eventuell in den Serverlogs sehen: URL mit 'oops='-Parameter deuten auf einen unautorisierten Zugriff hin.

Siehe dazu auch: (dab)

• Hacker-Angriff auf downloads.postnuke.com auf Post-Nuke.net