Lücke in TWiki ermöglicht Ausführen von Shell-Befehlen

Die Entwickler des Open-Source-Wiki-Systems TWiki haben eine kritische Lücke gemeldet, mit der Angreifer den Webserver kompromittieren können. Dem Fehlerbericht zufolge lässt sich in allen TWiki-Versionen 4.0.x das Konfigurationsskript missbrauchen, um eigene Perl-Skripte auf den Server zu laden und Shell-Befehle in dessen Kontext auszuführen – bei httpd in der Regel nobody. Ursache des Problems ist die unzureichende Filterung des TYPEOF-Parameters.

Zwar lässt das Configure-Skript (twiki/bin/configure) nach der ersten Initialisierung durch den Admin ohne Passwort keine Änderungen der Einstellungen mehr zu. Sofern es aber nicht durch die Apache-Authentifizierung htaccess oder andere Maßnahmen geschützt ist, kann ein Angreifer darauf zugreifen und mittels eines HTTP-POST-Request seinen Code hochladen. Der Fehlerbericht führt sogar einen Beispiel-Exploit auf, der auf einem verwundbaren System mit dem Unix-Befehl touch eine Datei erzeugt. Prinzipiell ließe sich so jeder beliebige Befehl ausführen – sofern die Rechte dazu vorhanden sind. Über Local-Privilege-Elevation-Bugs könnte ein Angreifer dann auch an Root-Rechte gelangen.

Abhilfe schafft die Installation des bereitgestellten Hotfixes für Version 4.0.4. Allerdings sind sich die Entwickler nicht sicher, ob der Patch alle möglichen Ausprägungen des Problems behebt und empfehlen zusätzlich, den Zugriff auf das Skript per htaccess zu schützen. Ein Anleitung dazu findet sich im Fehlerbericht.

Siehe dazu auch: (dab)

• Configure script allows arbitrary shell command execution, Fehlerbericht vom TWiki Security Team