Blog-Software Simplog mit mehreren Lücken
Ein Angreifer kann eigenen PHP-Code auf dem System ausführen und auf die Datenbank zugreifen.
Anwender der freien Blog-Software Simplog sollten in nächster Zeit ein wachsames Auge auf ihren Server werfen, da mit Angriffen zu rechnen ist. So wurde auf der Seite Milw0rm.com ein Exploit für eine Sicherheitslücke veröffentlicht, mit der ein Angreifer eigenen PHP-Code auf dem System ausführen kann. Ursache der Lücke ist ein Fehler in doc/index.php, mit dem sich über den s-Parameter Dateien von externen Servern einbinden lassen. Die Lücke lässt sich jedoch nur dann ausnutzen, wenn in php.ini die Option allow_url_fopen aktiviert ist, was standardmäßig aber leider der Fall ist.
Darüberhinaus wurden noch weitere Lücken in Simplog bekannt. So ermöglichen Fehler in index.php und archive.php mit manipulierten Parametern durch SQL-Injection den Zugriff auf die von Simplog benutzte Datenbank. Ein alter Bekannter ist ebenfalls anzutreffen: Die Datenbank-Abstraktionsschicht adodb, die in früheren Versionen unsichere Testskripte mit sich brachte, ist im Lieferumfang von Simplog enthalten. Zu guter Letzt lässt sich login.php auch noch für Cross-Site-Scripting-Angriffe ausnutzen.
Betroffen ist die aktuelle Version 0.92, wahrscheinlich auch vorherhergehende. Ein Update steht noch nicht zur Verfügung. Als Workaround hilft es, den Zugriff auf das adodb-Verzeichnis zu beschränken und in der php.ini (unter Debian /etc/php4/apache/) allow_url_fopen = off zu setzen. Gegen die SQL-Injection-Lücken hilft derzeit nur die manuelle Anpassung des Codes.
Siehe dazu auch: (dab)
- Simplog Multiple Vulnerabilities and Security Issues, Fehlerbericht auf Secunia
