PHProjekt lässt sich fremde Skripte unterschieben [Update]

In der Open-Source-Groupware-Lösung PHProjekt 5.1 stecken zwei Sicherheitslücken, durch die Angreifer eigenen PHP-Code auf dem System ausführen können. So ist es möglich, über die Parameter path_pre in lib/specialdays.php sowie lib_path in lib/dbman_filter.inc.php Pfade auf lokale oder externe Quellen zu definieren und so beliebige Skripte einzubinden. Damit der Angriff funktioniert, müssen register_globals und allow_url_fopen aktiviert sein – was auf einer normalen Serverinstallation eigentlich nicht der Fall sein sollte. Allerdings gibt es zahlreiche PHP-Anwendungen, welche die Aktivierung der Parameter für eine fehlerfreie Funktion erfordern. Somit ist nicht ausgeschlossen, dass bei der vorherigen Installation anderer Software diese Parameter verändert wurden.

Nach Angaben der Entwickler wurden die Fehler erst mit Version 5.1 eingeführt, 5.0, 5.0.1 und 5.0.2 sind von dem Problem nicht betroffen. An einem Patch wird derzeit mit Hochdruck gearbeitet, er soll im Laufe des Tages bereitgestellt werden. Gleichzeitig will man nach Angaben von Johann Hartmann ein neues Release von PHProjekt herausgeben. Derzeit suche man im Quellcode noch nach ähnlichen Fehlern, um sie ebenfalls zu beseitigen.

Update
Die Entwickler haben Version 5.1.1 veröffentlicht und empfehlen dringend den Wechsel auf diesen Release. Ein Patch steht ebenfalls zum Download bereit.

Siehe dazu auch: (dab)

• PHProjekt "path_pre"/"lib_path" File Inclusion Vulnerabilities, Fehlerbericht von Secunia