Lücke in phpGroupWare [Update]

Nach Angaben des französischen FrSIRT steckt in phpGroupWare Version 0.9.16.010 und vorherigen eine Schwachstelle, mit der sich Dateien auf dem Server ausspähen oder sogar ausführen lassen. Dies soll aufgrund der fehlenden Filterung im Modul calendar/inc/class.holidaycalc.inc.php durch Manipulation des Parameters phpgw_info[user][preferences][common][country] möglich sein. Allerdings ist der Zugriff nur auf solche Dateien möglich, für die der Webserver die erforderlichen Rechte besitzt.

Ein auf diese Weise eingebundenes PHP-Skript läuft ebenfalls nur mit den Rechten des Webservers – allerdings reicht dies oft schon aus, um den Rechner in weiteren Schritten über "Local Privilege Elevation" komplett zu kompromittieren. Das FrSIRT gibt in seinem Fehlerbericht nicht an, ob ein Angreifer zum Ausnutzen der Lücke am System angemeldet sein muss. Ein Patch oder Update für phpGroupWare steht noch nicht bereit.

Update
Die Entwickler haben kurz nach Benachrichtigung über das Problem ein Update auf Version 0.9.16.011 bereit gestellt, in dem die Lücke geschlossen ist. Da bereits ein Exploit kursiert, empfehlen sie dringend, das Update zu installieren. Damit der Exploit funktioniert, müssen allerdings die Optionen register_globals = on und gpc_magic_quotes = off gesetzt sein.

Siehe dazu auch: (dab)

• phpGroupWare Local File Inclusion Vulnerability, Fehlerbericht von FrSIRT