Zahlreiche Zusatzmodule gefährden Sicherheit von Mambo und Joomla!

Betreiber des Content-Management-Systems Mambo kommen nicht zur Ruhe, sofern sie Zusatzmodule von Drittherstellern auf ihren Servern laufen lassen. Allein im Monat Juli wurden in zwölf Modulen Sicherheitslücken bekannt, mit denen Angreifer über das Netz die Kontrolle über das CMS erlangen können. Ursache des Problems ist in den meisten Fällen die fehlende Filterung des Parameters mosConfig_absolute_path, über den sich mittels eigener Pfadangaben beliebige PHP-Skripte von lokalen Ressourcen oder externen Server einbinden und ausführen lassen.

Aktuell wurden Lücken in den Modulen Mam-Moodle, MultiBanners, MoSpray bekannt, die den bisherigen Juli-Reigen von Mambo-SMF, VideoDB, LoudMouth, PollXT, SiteMap, SimpleBoard, phpBB (Modul für Mambo), ExtCalendar und Galleria ergänzen. Die jeweilige Verbreitung der Module schwankt sehr stark. Einige kommen relativ häufig zum Einsatz, andere nur sehr selten.

Dedizierte Patches sind in den wenigsten Fällen verfügbar. In der Regel genügt es aber schon, in der Datei php.ini die PHP-Option register_globals = off zu setzen (unter Debian /etc/php4/apache/). Sofern notwendig, kann Mambo die Funktion register globals auch emulieren. Die Mambo-Entwickler empfehlen zudem, in jedes Zusatzmodul die Zeile

defined( '_VALID_MOS' ) or die( 'Direct Access not allowed.' );

am Anfang hinzuzufügen.

Auch Joomla!, eine Abspaltung von Mambo, ist vom Problem mit Zusatzmodulen betroffen. So wurden im Juli sechs verwundbare Module gemeldet: PollXT, HashCash, JoomlaBoard, SimpleBoard, PcCookbook und perForms. Durch die Lücke in perForms wurden bereits diverse Server mit IRC-Bots infiziert. Abhilfe schaffen die gleichen Maßnahmen wie bei Mambo (siehe oben).

Siehe dazu auch: (dab)

• Liste der Lücken in Mambo, Datenbankeinträge von Secunia