Web-Kalender Kronolith lässt sich Code unterschieben

Das Groupware-Kalender-System Kronolith soll zwar das Miteinander von Anwendern vereinfachen, eine kürzlich vom Dienstleister iDefense aufgedeckte Schwachstelle erleichtert aber missliebigen Nutzern unter Umständen das Gegeneinander. So kann ein authentifizierter Nutzer eigenen PHP-Code im Kontext des Webservers ausführen und so etwa die Daten und Mails anderer Anwender ausspähen. Kronolith wird üblicherweise bei der Installation der auf dem Horde-Framework beruhenden Webmail-Lösung IMP mit angelegt.

Die Lücke findet sich laut Fehlerbericht im Modul lib/FBView.php: Durch Manipulation eines vom Nutzer übergebenen View-Parameters lässt sich ein Pfad auf eine beliebige Datei umbiegen und die Datei ausführen. iDefense merkt in seinem Bericht an, dass zwar im Modul mittels der PHP-Funktion basename eine Filterung des übergebenen Parameters stattfindet, allerdings wird im weiteren Verlauf des Skripts trotzdem der ursrprüngliche, ungefilterte Parameter weiter verwendet.

Zwar lassen sich auf diese Weise nur bereits auf dem Server vorhandene Dateien ausführen – Remote-File-Inclusion ist nicht möglich –, es gibt aber diverse Wege für einen authentifizierten Nutzer, Daten respektive Dateien auf einem Server abzulegen.

Der Fehler wurde in den Versionen Horde Kronolith 2.0.1 und 2.1.3 bestätigt. Andere Versionen sind wahrscheinlich ebenfalls betroffen. Die Entwickler haben den Fehler in 2.0.7 und 2.1.4 beseitigt

Siehe dazu auch:

• Horde Kronolith Arbitrary Local File Inclusion Vulnerability, Fehlerbericht von iDefense

(dab)