TWiki wieder undicht

Die beliebte Wiki-Software TWiki führt durch eine weitere Schwachstelle eingeschmuggelte Kommandos aus. Die Entwickler stellen in einer Sicherheitsmeldung einen Patch für die betroffenen Versionen zur Verfügung.

Der Fehler wird unter anderem in TWiki::Func::readTopicText und in Plug-ins, die diese Funktion nutzen, beim Zugriff auf ältere Revisionen eines Themeneintrags offenbart. Der rev-Parameter von INCLUDE-Anweisungen wird dabei nicht ordentlich auf Metazeichen wie Pipes ('|') überprüft. Dadurch könnte ein Angreifer Shell-Befehle einschleusen, die mit den Berechtigungen des Webservers (meistens der User nobody) ausgeführt wird. Die modifizierte INCLUDE-Anweisung %INCLUDE{ "Main.TWikiUsers" rev="2|less /etc/passwd" }% führt beispielsweise zur Ausgabe der System-Passwortliste.

Betroffen sind die TWiki-Versionen TWikiRelease03Sep2004 bis hinab zur TWikiRelease01Feb2003. Die TWiki-Entwickler empfehlen betroffenen Administratoren der Software, den angebotenen Patch einzupflegen.

Siehe dazu auch: (dmk)

• Security Advisory der TWiki-Entwicklern
• TWiki lässt sich Befehle unterschieben letzte gemeldete TWiki-Lücke vom 16.09.2005