Mehrere Schwachstellen in LDAP-Browser "phpLDAPadmin"
Anwender des webbasierten LDAP-Managementtools "phpLDAPadmin" sollten ihre Konfiguration überprüfen und gegebenenfalls anpassen, um zu verhindern, dass unautorisierte Anwender das System ausspähen oder Code ausführen können.
Anwender des webbasierten LDAP-Management-Tools "phpLDAPadmin" sollten ihre Konfiguration überprüfen und gegebenenfalls anpassen, um zu verhindern, dass unautorisierte Anwender das System ausspähen oder Code ausführen können. Ursache des Problems ist das Modul "welcome.php", das sich über den Parameter custom_welcome_page Argumente unterschieben lässt, um beliebige Dateien anzuzeigen. Des Weiteren soll es auf diese Weise möglich sein, eigene PHP-Skripte einzubinden und auszuführen, die auf beliebigen Servern abgelegt sind. Voraussetzung ist allerdings, dass [ttregister_globals[/tt]] aktiviert ist, sodass alle URL-Parameter in Variablen umgewandelt werden. Die veröffentlichen Demo-Exploits funktionieren bei einem Test in der heise-Security-Redaktion aber nicht.
Betroffen sind nach Angaben des Entdeckers der Fehler die Versionen 0.9.6c und 0.9.7/alpha5, wahrscheinlich auch vorhergehende. Ein Patch gibt es derzeit nicht. Debian hat zwar kürzlich ein Advisory zu "phpLDAPadmin" veröffentlicht, geht dort allerdings nur auf eine Lücke im Modul "login.php" ein. Demnach ist eine anonyme Verbindung zu einem LDAP-Server auch dann möglich, wenn die Option disable_anon_bind gesetzt ist. Neue Pakete bügeln zumindest diesen Fehler aus.
Siehe dazu auch: (dab)
- phpLDAPadmin system disclosure, Fehleranalyse von retrogod
- phpldapadmin -- programming error Fehlerreport von Debian
