Sicherheitslücken in TWiki

Angreifern mit Zugriff auf das Wiki-System ist es möglich, auch Inhalte mit Zugriffsbeschränkungen auszulesen und unter Umständen den Webserver vollständig lahmzulegen.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Von
  • Christiane Rütten

Die Entwickler des freien Wiki-System TWiki haben zwei Security-Advisories herausgegeben. Das erste Advisory zeigt auf, wie sich die TWiki-Skripte rdiff und preview nutzen lassen, um Zugriffsrestriktionen auszuhebeln. Damit sei es einem Angreifer möglich, auch Wiki-Inhalte auszulesen, die für eigentlich nicht zugänglich sein dürften.

Im zweiten Advisory beschreiben die Entwickler, wie ein Angreifer mit Schreibrechten im Wiki-System durch eine rekursive Include-Anweisung in der editierten Seite innerhalb weniger Minuten den Webserver vollständig lahmlegen kann. Dieser fülle durch die wiederholte Einbindung derselben Seite seinen gesamten Hauptspeicher und erhole sich typischerweise erst nach einem vollständigen Neustart von dem Angriff.

Eine fehlerbereinigte TWiki-Version ist bislang nicht verfügbar. In den Advisories sind allerdings Workarounds und Patches beschrieben, die Server-Admins an ihren TWiki-Installationen durchführen sollten.

Siehe dazu auch: (cr)